¿Qué es PCI DSS? Descripción general, requisitos y beneficios

PCI DSS fue desarrollado para fomentar y mejorar la seguridad de datos de las cuentas de pago y facilitar la adopción amplia de medidas de seguridad de datos consistentes a nivel mundial. PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas de pago y salvaguardar tanto a los consumidores como a las empresas del fraude financiero y el daño a la reputación.

Uno de los propósitos centrales de PCI DSS es proteger los datos del titular de la tarjeta contra el acceso no autorizado y el posible uso indebido. Esto incluye números de cuenta principales, nombres de titulares de tarjetas, fechas de vencimiento y otra información confidencial. La norma también está diseñada para minimizar el riesgo de violaciones de datos, que podrían resultar en acceso no autorizado o robo de información de tarjetas de pago. Al implementar los controles PCI DSS, las organizaciones también ayudan a prevenir y detectar actividades fraudulentas relacionadas con las transacciones con tarjetas de pago.

Es importante tener en cuenta que los requisitos de PCI DSS evolucionan con el tiempo para abordar nuevas amenazas de seguridad, avances tecnológicos y cambios en el panorama regulatorio. Encuentre los últimos requisitos en el sitio web del PCI Security Standard Council .

El cumplimiento de PCI DSS requiere que las organizaciones aborden una variedad de vulnerabilidades potenciales para garantizar la seguridad de los datos del titular de la tarjeta. A continuación se presentan cuatro áreas de vulnerabilidad comunes que las organizaciones deben abordar para mantener el cumplimiento de PCI DSS.

• Sistemas de punto de venta (POS): Los sistemas POS manejan datos confidenciales de tarjetas de pago durante las transacciones y son susceptibles a diversas vulnerabilidades que pueden provocar violaciones de datos y acceso no autorizado. Muchos sistemas POS funcionan con hardware y software obsoletos que pueden no recibir actualizaciones de seguridad periódicas, lo que expone vulnerabilidades que los atacantes pueden explotar. Los nombres de usuario y contraseñas débiles o predeterminados en los sistemas POS también pueden ser explotados por atacantes. Además, los sistemas POS también suelen implicar integraciones de terceros. Si estos proveedores externos tienen prácticas de seguridad débiles o existen vulnerabilidades en la cadena de suministro, esto puede introducir riesgos para el sistema en general.
• Redes inalámbricas no seguras: Estos pueden proporcionar un punto de entrada potencial para que los atacantes comprometan datos confidenciales de los titulares de tarjetas, ya que personas no autorizadas pueden acceder fácilmente a redes inalámbricas no seguras para conectarse a sistemas POS y otros dispositivos que manejan información de tarjetas de pago. Además, el tráfico inalámbrico puede carecer de cifrado, lo que expone los datos transmitidos a interceptaciones y escuchas ilegales.
• Controles de acceso y autenticación débiles: Cuando los controles de acceso no son sólidos, personas no autorizadas pueden ingresar a recursos confidenciales, lo que aumenta el riesgo de violaciones de datos, actividades no autorizadas y otros incidentes de seguridad. Por ejemplo, confiar en contraseñas simples sin requisitos de complejidad o en cuentas de usuario mal administradas que no verifican eficazmente la identidad de los usuarios puede llevar a la visualización, modificación o exfiltración no autorizada de información de pago confidencial. PCI DSS también enfatiza el uso de autenticación multifactor (MFA) para mejorar la seguridad de los controles de acceso. A los usuarios y sistemas se les debe otorgar el nivel mínimo de acceso o permisos necesarios para realizar sus tareas, de acuerdo con el principio del mínimo privilegio. Los derechos de acceso deben adaptarse a roles, responsabilidades y funciones laborales específicas.
• Cifrado, tokenización y almacenamiento de datos inadecuados: La falta de implementación de medidas robustas de encriptación, tokenización y almacenamiento seguro de datos puede llevar al incumplimiento de PCI DSS y aumentar el riesgo de violaciones de datos y la vulneración de información confidencial de tarjetas de pago. El cifrado de extremo a extremo garantiza que la información de pago confidencial se encripte en el punto de entrada (en el POS) y permanezca encriptada durante todo su recorrido a través de diversos sistemas y redes hasta que llega a su destino, donde el destinatario utiliza la clave correcta para descifrar los datos. Como alternativa, la información de pago puede ser tokenizada, un proceso que implica sustituir datos confidenciales, como números de tarjetas de crédito, por valores de marcador de posición no confidenciales llamados tokens. Cuando se realiza una transacción de pago, los datos reales del titular de la tarjeta se reemplazan con un token único que no tiene valor intrínseco y es inútil para los atacantes sin acceso al sistema de tokenización. Tanto el cifrado como la tokenización ayudan a evitar escuchas o intercepciones por parte de actores maliciosos y mantienen la confidencialidad de los datos del titular de la tarjeta.

PCI DSS dicta una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas de pago. Estos requisitos se detallan en los siguientes seis principios PCI DSS.

1.Construir y mantener una red y sistemas seguros

La protección de los datos del titular de la tarjeta comienza con el establecimiento de una infraestructura de red segura. Esto incluye el uso de firewalls para controlar y monitorear el tráfico entre redes y restringir el acceso no autorizado. La microsegmentación es otra estrategia de seguridad recomendada que implica dividir una red en segmentos pequeños y distintos para mejorar la seguridad al controlar el tráfico lateral “este-oeste” dentro de la red y a nivel de aplicação o carga de trabajo para reducir la superficie de ataque potencial. Establecer las mejores prácticas de gestión de vulnerabilidades también es fundamental para garantizar que los sistemas tengan los parches y estén actualizados.

2.Proteger los datos del titular de la tarjeta

Este principio se centra en el cifrado y la protección de los datos del titular de la tarjeta durante la transmisión y el almacenamiento para evitar el acceso no autorizado a información confidencial. El requisito dicta el uso de criptografía fuerte para proteger los datos del titular de la tarjeta durante la transmisión a través de redes públicas y el desarrollo de políticas de retención de datos que eviten el almacenamiento de datos de autenticación sensibles después de la autorización. Las políticas de protección de datos también exigen el enmascaramiento o truncamiento de los números de cuenta principales (PAN) para minimizar el riesgo de acceso no autorizado y exposición de información confidencial del titular de la tarjeta. Según los requisitos de PCI DSS, los primeros seis y los últimos cuatro dígitos de un PAN son la cantidad máxima de dígitos que se muestran cuando el PAN es visible.

3.Mantener un programa de gestión de vulnerabilidades

Mantener un entorno seguro requiere identificar y abordar periódicamente las vulnerabilidades. Esto incluye realizar análisis de vulnerabilidad periódicos, que alertan a las empresas sobre fallas preexistentes en su código, y pruebas de penetración, que determinan si es posible un acceso no autorizado u otra actividad maliciosa. simular ataques del mundo real para probar la eficacia de las medidas de seguridad existentes. Abordar rápidamente cualquier debilidad detectada mediante análisis o pruebas es fundamental para protegerse contra posibles riesgos para los sistemas y los datos del titular de la tarjeta que puedan contener . Además, las organizaciones deben desarrollar y aplicar pautas de codificación segura, como las descritas por organizaciones como OWASP , para evitar la introducción de vulnerabilidades durante el ciclo de vida del desarrollo de software.

4.Implementar medidas sólidas de control de acceso

Restringir el acceso a los componentes del sistema y a los datos del titular de la tarjeta ayuda a evitar que personas o sistemas no autorizados obtengan acceso. PCI DSS dicta la limitación del acceso según la necesidad de conocimiento del negocio, a menudo denominada el principio del mínimo privilegio, que sostiene que un usuario o sistema solo debe tener acceso a los datos, recursos y aplicações específicos necesarios para completar una tarea requerida. De manera similar, los controles de acceso basados en roles (RBAC) restringen el acceso al sistema a usuarios autorizados en función de sus roles dentro de una organización. Estas políticas requieren que los controles de acceso se revisen y actualicen con frecuencia para reflejar los cambios en el personal y los roles. También piden la implementación de MFA para el acceso a los sistemas y a los datos de los titulares de tarjetas y para mejorar las políticas de contraseñas y las mejores prácticas.

5.Monitorear y probar redes regularmente

La monitorización y las pruebas continuas son fundamentales para detectar y responder con rapidez a los incidentes de seguridad. Esto implica implementar mecanismos de registro, realizar pruebas de seguridad periódicas y una revisión continua de la actividad de la red. Las herramientas de monitoreo de red también incluyen sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) que analizan y evalúan la integridad del tráfico de red para identificar patrones de ataque, actividades anormales y uso no autorizado. Las organizaciones también deben establecer un plan de respuesta a incidentes y procedimientos de emergencia y garantizar que estos procesos se prueben periódicamente.

6.Mantener una política de seguridad de la información

PCI DSS también requiere que las organizaciones establezcan y mantengan una política de seguridad integral que establezca el marco para proteger los datos del titular de la tarjeta y guiar las prácticas de seguridad dentro de la organización. La política debe documentarse, revisarse periódicamente y actualizarse para reflejar los cambios en la tecnología y los procesos de negocio. Las organizaciones también deben asegurarse de que los empleados conozcan y estén capacitados en políticas y procedimientos de seguridad.

El cumplimiento de los siguientes 12 requisitos PCI DSS es esencial para que las organizaciones creen una postura de seguridad sólida, protejan los datos del titular de la tarjeta y minimicen el riesgo de violaciones de datos.

1. Instalar y mantener controles de seguridad de red. Los controles de seguridad de red (NSC), como firewalls y otras tecnologías de seguridad de red, son puntos de cumplimiento de políticas de red que normalmente controlan el tráfico de red entre dos o más segmentos de red lógicos o físicos (o subredes). Los NSC actúan como una barrera entre la red interna segura y las redes externas, y controlan el tráfico entrante y saliente según reglas o políticas de seguridad predeterminadas para ayudar a prevenir el acceso no autorizado a los datos del titular de la tarjeta.
2. Aplicar configuraciones seguras a todos los componentes del sistema. Cambiar las configuraciones predeterminadas garantiza que los sistemas estén configurados de forma segura desde el principio al reducir el riesgo de acceso no autorizado, ya que los atacantes conocen bien las contraseñas y configuraciones predeterminadas. No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
3. Proteja los datos del titular de la tarjeta almacenados. Las organizaciones deben cifrar los datos almacenados de los titulares de tarjetas para protegerlos del acceso no autorizado incluso si se produce una violación, lo que hace que los datos robados sean ilegibles sin las claves de descifrado adecuadas.
4. Proteja los datos del titular de la tarjeta con criptografía sólida durante la transmisión a través de redes públicas abiertas. Esto protege contra escuchas clandestinas y acceso no autorizado durante la transmisión de datos.
5. Proteja todos los sistemas y redes de software malicioso. Las actualizaciones periódicas del software antivirus y el uso de herramientas antimalware ayudan a prevenir, detectar y eliminar software malicioso, lo que reduce el riesgo de vulneración.
6. Desarrollar y mantener sistemas y software seguros. Desarrollar aplicações teniendo en cuenta la seguridad, enfatizando la importancia de las prácticas de codificación segura y el mantenimiento continuo de los sistemas y aplicações. Actualice y aplique parches de software periódicamente para ayudar a abordar las vulnerabilidades que los atacantes pueden explotar.
7. Restrinja el acceso a los componentes del sistema y a los datos del titular de la tarjeta según las necesidades comerciales. Los controles de acceso limitan el acceso a los datos del titular de la tarjeta únicamente a aquellas personas cuyo trabajo lo requiere. Esto reduce el riesgo de acceso no autorizado y ayuda a las organizaciones a adherirse al principio del mínimo privilegio.
8. Identificar usuarios y autenticar el acceso a los componentes del sistema. Asigne identificaciones únicas y contraseñas seguras para autenticar a los usuarios. Esto ayuda a garantizar que sólo las personas autorizadas puedan acceder a los datos del titular de la tarjeta. La autenticación multifactor puede agregar una capa adicional de seguridad.
9. Restringir el acceso físico a los datos del titular de la tarjeta. Los controles de acceso físico, como las restricciones de entrada y la vigilancia, ayudan a evitar que personas no autorizadas accedan físicamente a los sistemas que almacenan datos de los titulares de tarjetas.
10. Registrar y supervisar todos los accesos a los componentes del sistema y a los datos del titular de la tarjeta. Los archivos de registro, los sistemas de detección/prevención de intrusiones y otras herramientas de seguimiento contribuyen a un monitoreo continuo efectivo, permitiendo a las organizaciones detectar y responder rápidamente a actividades sospechosas.
11. Pruebe la seguridad de los sistemas y redes periódicamente. Las pruebas proactivas, incluidas las evaluaciones de vulnerabilidad y las pruebas de penetración, ayudan a identificar y abordar las debilidades de seguridad antes de que los atacantes puedan explotarlas.
12. Apoyar la seguridad de la información con políticas y programas organizacionales. Implementar una política de seguridad integral para el cumplimiento continuo que establezca las reglas y pautas para proteger los datos del titular de la tarjeta, y garantizar que todo el personal conozca, esté capacitado y cumpla con esta política.

Los niveles de cumplimiento de PCI se dividen en cuatro niveles según el volumen total de transacciones con tarjetas de crédito, débito y prepagas durante 12 meses. Las organizaciones deben determinar su volumen de transacciones con precisión y cumplir con los requisitos del nivel correspondiente para garantizar y mantener el cumplimiento de PCI DSS. Mantener el nivel adecuado de cumplimiento es fundamental para proteger las transacciones de comercio electrónico, mantener un entorno seguro para los datos de los titulares de tarjetas y prevenir posibles infracciones.

Nivel 1: Empresas con más de 6 millones de transacciones anuales

El nivel 1 de cumplimiento de PCI es el nivel más alto y estricto de PCI DSS y está diseñado para garantizar el más alto nivel de seguridad para las empresas que almacenan, transmiten o procesan datos de tarjetas de crédito. Además, los comerciantes y proveedores de servicios de cualquier tamaño que hayan estado expuestos a una violación o un ciberataque que haya comprometido los datos de tarjetas de crédito o del titular de la tarjeta deben cumplir con los requisitos de PCI Nivel 1. La validación PCI Nivel 1 requiere un informe anual sobre cumplimiento (ROC) realizado por un evaluador de seguridad calificado (QSA) o un evaluador de seguridad interno, y normalmente también exige pruebas de penetración, que implican simular ciberataques del mundo real a sistemas informáticos y aplicações para identificar vulnerabilidades. La validación PCI Nivel 1 también requiere un escaneo de red trimestral realizado por un proveedor de escaneo aprobado (ASV).

Nivel 2: Empresas con entre 1 y 6 millones de transacciones anuales

Los comercios con certificación PCI DSS Nivel 2 deben realizar una evaluación de cumplimiento anual mediante un cuestionario de autoevaluación (SAQ) y realizar análisis de red trimestrales por parte de un ASV. También deben completar el formulario de Declaración de Cumplimiento (AOC). Al igual que el Nivel 1, es posible que algunos comerciantes de Nivel 2 deban realizar pruebas de penetración. No se requiere una auditoría PCI DSS en el sitio para los comerciantes de Nivel 2 a menos que hayan experimentado una violación de datos o un ciberataque que comprometa los datos de la tarjeta de crédito o del titular de la tarjeta.

Nivel 3: Empresas con entre 20.000 y 1 millón de transacciones de comercio electrónico al año

Los comercios con certificación PCI DSS Nivel 3 deben completar el SAQ anual correspondiente y realizar un análisis de red trimestral por parte de un ASV. También deben completar y enviar un formulario AOC.

Nivel 4: Empresas con menos de 20.000 transacciones de comercio electrónico o hasta 1 millón de otras transacciones al año

Los comerciantes de nivel PCI 4 deben completar el SAQ anual correspondiente y es posible que se requiera un análisis de seguridad de red externa ASV trimestral. El comerciante también debe completar y enviar un formulario AOC. No todos los proveedores de tarjetas tienen designaciones de Nivel 4.

Cumplir con los 12 requisitos del PCI DSS es fundamental para fortalecer la seguridad de datos y contribuir al cumplimiento general. Los requisitos trabajan juntos para crear un marco integral para proteger los datos del titular de la tarjeta y prevenir violaciones de seguridad.

El cumplimiento de PCI DSS demuestra un compromiso con la protección de los datos confidenciales de los titulares de tarjetas, asegurando a los clientes que los detalles de sus tarjetas de crédito se manejan con los más altos estándares de seguridad y fomentando la confianza en la capacidad de la empresa para salvaguardar su información personal. Además, las empresas que se adhieren al PCI DSS están mejor posicionadas para defenderse contra acciones legales y sanciones regulatorias relacionadas con la seguridad de datos inadecuada.

Mantener el cumplimiento de PCI DSS ofrece otras ventajas a largo plazo a medida que evolucionan los panoramas tecnológicos y de seguridad. Cumplir con los requisitos de PCI DSS significa que las organizaciones se mantienen alertas y están mejor equipadas para prevenir ataques avanzados y sofisticados y pueden adaptarse más rápidamente a las amenazas cibernéticas en evolución. La adhesión a PCI DSS también fomenta una cultura centrada en la seguridad dentro de una organización que se extiende más allá del cumplimiento, fomentando esfuerzos continuos para fortalecer las prácticas de seguridad de datos .

Como ejemplo de cómo PCI DSS puede ayudar a construir (y reconstruir) la confianza del cliente, en 2012 Global Payments, una importante empresa de procesamiento de pagos, experimentó una violación de datos que resultó en acceso no autorizado a información confidencial de tarjetas de pago. La violación afectó a aproximadamente 1,5 millones de tarjetas de crédito y débito, lo que generó preocupaciones sobre la seguridad de las transacciones de pago. Global Payments tomó medidas inmediatas para contener la violación e inició una investigación para determinar el alcance del compromiso. Las agencias de aplicación de la ley, incluido el Departamento de Justicia de los Estados Unidos. El Servicio Secreto estuvo involucrado en la investigación.

En respuesta a la violación, Global Payments se comprometió a mejorar su infraestructura de seguridad e implementar medidas adicionales para prevenir incidentes similares en el futuro. La empresa también se comprometió a hacer de la consecución y el mantenimiento del cumplimiento de los requisitos PCI DSS una prioridad, lo que ayudó a asegurar a los clientes y las partes interesadas que Global Payments estaba tomando medidas concretas para proteger los datos de pago.

Al abordar de forma proactiva las vulnerabilidades de seguridad, invertir en medidas de seguridad mejoradas y lograr el cumplimiento de PCI DSS, Global Payments demostró su compromiso con la reconstrucción de la confianza. El compromiso de la empresa con la transparencia, la inversión en seguridad y el logro del cumplimiento de PCI DSS desempeñaron un papel fundamental para recuperar la confianza de los clientes y reconstruir su reputación en la industria del procesamiento de pagos.

Complejidad de los requisitos

La ejecución de los 12 requisitos de PCI DSS puede plantear múltiples desafíos para las organizaciones porque se necesitan recursos adecuados, tanto en términos de personal como de tecnología, para implementar y mantener el cumplimiento de PCI DSS. Las organizaciones de todos los tamaños pueden tener dificultades para definir y limitar con precisión el alcance de su implementación, pero esto es especialmente desafiante para las empresas más pequeñas con presupuestos y experiencia limitados, o para aquellas con sistemas heredados que deben actualizarse para cumplir con los estándares PCI DSS actuales. Las empresas a menudo dependen de proveedores externos para diversos elementos de la implementación, pero garantizar que estos proveedores cumplan con los requisitos de PCI DSS y proteger la cadena de suministro también es una responsabilidad importante.

Mantenimiento continuo

Mantener el cumplimiento del PCI DSS es un proceso continuo y requiere monitoreo, pruebas y evaluaciones regulares. Esto requiere que las organizaciones se mantengan alerta y actualicen sus medidas de seguridad y políticas de gestión de parches periódicamente. Mantener el cumplimiento también implica un compromiso constante con la prueba regular de los sistemas y procesos de seguridad, incluyendo la realización de pruebas de penetración exhaustivas y evaluaciones de vulnerabilidad, que pueden consumir muchos recursos, presentar desafíos logísticos y agotar los recursos con el tiempo.

Implicaciones de costos

El panorama de la ciberseguridad está en constante evolución y periódicamente surgen amenazas nuevas y sofisticadas. El cumplimiento de PCI DSS requiere que las empresas monitoreen y analicen continuamente el panorama de amenazas para comprender y mantenerse a la vanguardia de estos riesgos. Identificar y mitigar vulnerabilidades de día cero también presenta un desafío importante para mantener el cumplimiento de PCI DSS, ya que estas vulnerabilidades son fallas de seguridad desconocidas que los actores de amenazas explotan antes de que los proveedores tengan la oportunidad de lanzar parches. La mejora continua y el compromiso de mantenerse informado sobre las últimas tendencias de seguridad son clave para afrontar con éxito los desafíos de mantenerse a la vanguardia de las amenazas emergentes y, al mismo tiempo, garantizar que el cumplimiento de PCI DSS se adapte a la naturaleza dinámica de las amenazas cibernéticas.

Panorama de amenazas en evolución

El panorama de la ciberseguridad está en constante evolución y periódicamente surgen amenazas nuevas y sofisticadas. El cumplimiento de PCI DSS requiere que las empresas monitoreen y analicen continuamente el panorama de amenazas para comprender y mantenerse a la vanguardia de estos riesgos. Identificar y mitigar vulnerabilidades de día cero también presenta un desafío importante para mantener el cumplimiento de PCI DSS, ya que estas vulnerabilidades son fallas de seguridad desconocidas que los actores de amenazas explotan antes de que los proveedores tengan la oportunidad de lanzar parches. La mejora continua y el compromiso de mantenerse informado sobre las últimas tendencias de seguridad son clave para afrontar con éxito los desafíos de mantenerse a la vanguardia de las amenazas emergentes y, al mismo tiempo, garantizar que el cumplimiento de PCI DSS se adapte a la naturaleza dinámica de las amenazas cibernéticas.

Visite el sitio web del PCI Security Standard Council para obtener la información más reciente sobre los requisitos de cumplimiento de PCI DSS, información sobre capacitación y calificación, y acceso a profesionales calificados de PCI. El sitio también ofrece una extensa biblioteca de recursos que incluye preguntas frecuentes, un glosario y una práctica guía de referencia rápida de PCI DSS.

El cumplimiento de PCI DSS es esencial para las organizaciones que manejan transacciones con tarjetas de crédito, ya que sus requisitos ayudan a garantizar la seguridad de los datos del titular de la tarjeta, la protección de las redes de transacciones y el monitoreo y las pruebas obligatorias de los sistemas de seguridad. F5 ofrece un conjunto de productos, servicios y soluciones de seguridad de aplicação para ayudar a su organización a lograr y mantener el cumplimiento de PCI DSS. Además, F5 Distributed Cloud Services cumple con la normativa PCI DSS como proveedor de servicios de nivel 1.

F5 también ofrece liderazgo intelectual sobre estrategias y conocimientos de protección y seguridad de aplicação a través de investigaciones, análisis, blogs e informes de F5 Labs .