Glosario

¿Qué es la normativa PCI-DSS?

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard o PCI DSS) es un estándar de seguridad orientado a la protección de los datos del titular de una tarjeta, así como a otros datos sensibles de autenticación durante su procesamiento, almacenamiento y/o transmisión. Actualmente, este estándar está actualizado hasta la versión 4.0, publicada en marzo de 2022. Es obligatorio cumplir con esta normativa para todas aquellas empresas que aceptan, procesan o transmiten los datos de tarjetas. De lo contrario pueden enfrentarse a grandes multas o a perder los permisos de procesamiento de pagos.

Contexto previo a la PCI-DSS

Antes de la publicación de una primera versión del estándar PCI DSS, cada empresa emisora de tarjetas de pago contaba con un programa propio de seguridad. Cada uno de estos programas definía los controles de seguridad que las entidades debían implementar, los procesos de reporte de cumplimiento y las sanciones a aplicar en caso de incumplimiento. Esto implicaba que si una entidad trabajaba con datos de tarjetas pertenecientes a alguna de estas marcas, se veía en la obligación de cumplir con su programa de seguridad, lo que podía llevar a duplicidades, incongruencias y solapamientos en la implementación de controles.

Requisitos para cumplir la PCI-DSS

Con la llegada de la PCI DSS, todos los requisitos se unificaron bajo un estándar de seguridad. Estos son los requerimientos necesarios para proteger la información sensible de las tarjetas y evitar los fraudes.

1. Uso de firewalls para prevenir accesos no autorizados.
2. Cifrado de datos para garantizar la confidencialidad.
3. Controles de acceso para limitar el acceso a personal autorizado.
4. Monitoreo de redes para detectar actividades sospechosas.
5. Pruebas de seguridad para identificar vulnerabilidades.
6. Políticas de gestión de contraseñas para asegurar contraseñas robustas y seguras.

Estos elementos forman un marco integral que protege contra amenazas como el robo de datos y el fraude.De esta manera se asegura la seguridad de la información de los clientes y el cumplimiento con la normativa PSD2.