¿Qué es el PCI DSS (estándar de seguridad de tarjetas)?
El PCI DSS (Payment Card Industry Data Security Standard) es el estándar de seguridad que protege los datos de las tarjetas de pago. No es una ley: es una exigencia contractual creada por las marcas de tarjetas y exigida por los bancos, que aplica a cualquier empresa que almacene, procese o transmita datos de tarjeta, desde el comercio electrónico hasta la tienda física. La versión vigente, la v4.0.1, organiza la protección en 12 requisitos agrupados en 6 objetivos de control, y desde el 31 de marzo de 2025 también los requisitos que antes eran buenas prácticas opcionales son obligatorios en una auditoría.
Cómo funciona el PCI DSS en la práctica
El PCI DSS parte de una pregunta simple: ¿por dónde entran, quedan y salen los datos de tarjeta de la empresa? Todo lo que toca ese flujo forma el entorno de datos del titular de la tarjeta (el CDE), y es lo que hay que proteger y validar. El ciclo tiene cuatro pasos.
Descubrir el alcance (el CDE)
Mapear por dónde circula el dato de tarjeta y dónde se guarda. Reducir ese territorio, por ejemplo tercerizando el pago a un proveedor certificado, achica el esfuerzo de cumplimiento.
Aplicar los 12 requisitos
Red segura, protección del dato almacenado, gestión de vulnerabilidades, control de acceso, monitoreo y una política de seguridad: son las seis metas que los 12 requisitos detallan.
Validar en el nivel correcto
Según el volumen de transacciones, la empresa se valida con un cuestionario de autoevaluación (SAQ) o con una auditoría de un evaluador calificado (QSA), sumada a escaneos de vulnerabilidad de un proveedor aprobado (ASV).
Mantener todo el año
El PCI DSS no es una foto anual. La v4.0.1 refuerza que los controles deben operar de forma continua, no solo en la semana de la auditoría.
Fuente: PCI Security Standards Council (PCI SSC), PCI DSS v4.0.1.
Los 6 objetivos que organizan los 12 requisitos
- Red y sistemas seguros Mantener firewall y configuraciones protegidas, sin contraseñas ni valores de fábrica.
- Proteger los datos de la cuenta (del titular) Cifrar el dato de tarjeta almacenado y su transmisión por redes abiertas.
- Gestión de vulnerabilidades Antimalware actualizado y software corregido contra fallas conocidas.
- Control de acceso fuerte Acceso al dato solo para quien lo necesita, con identificación única y restricción física.
- Monitorear y probar Registrar y seguir todo acceso a la red y probar la seguridad con regularidad.
- Política de seguridad de la información Una política escrita que orienta a las personas y sostiene todo lo demás.
Por qué el dato de tarjeta sigue en la mira
Mientras haya tarjetas, habrá fraude. Las pérdidas globales por fraude de tarjeta sumaron US$ 33,4 mil millones en 2024 (Nilson Report), sobre un volumen de más de US$ 51 billones movidos. Para la empresa que sufre una filtración de datos de tarjeta, la cuenta no es solo el fraude: llegan las multas de las marcas, el costo de la investigación forense, la posible pérdida del derecho a aceptar tarjetas y el daño reputacional. Y el PCI DSS no exime a nadie por tamaño: la panadería que pasa la tarjeta en la terminal de pago y el marketplace con millones de transacciones responden al mismo estándar, en niveles de validación distintos.
Cómo se prepara una empresa para el PCI DSS
El cumplimiento del PCI DSS es menos un proyecto único y más reducir lo que hay que proteger. El camino más directo:
- Reduzca el alcance primeroCuanto menos almacena y toca la empresa el dato de tarjeta, menor el esfuerzo. Tercerizar el pago a un proveedor certificado saca buena parte del CDE de la casa.
- Descubra su nivel de validaciónEl volumen de transacciones define si la empresa se valida por autoevaluación o por auditor externo. Saber el nivel evita exigirse más (o menos) de lo que la marca pide.
- Cierre los controles de los 12 requisitosDel MFA en el acceso al dato a la corrección de vulnerabilidades, cada requisito se vuelve un control con evidencia, no una promesa.
- Trátelo como rutina continuaLa v4.0.1 quiere los controles operando todo el año. Monitorear y recolectar evidencia de forma continua es lo que evita la corrida de la víspera de la auditoría.
En la práctica
La pregunta que revela el riesgo real: ¿la empresa sabe con exactitud por dónde pasa el dato de tarjeta hoy, o lo descubriría solo en medio de una investigación de fraude?
Cómo trata Zamak el cumplimiento del PCI DSS
Zamak Technologies apoya el camino del PCI DSS como parte de la Gobernanza y Conformidad del Método Zamak: mapeo de los controles, recolección continua de evidencia y trazabilidad de auditoría sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la empresa.