Prepárate para PCI DSS 4.0

American Express emitió la primera tarjeta de crédito de plástico en 1959. Y aunque bancos individuales habían establecido sus propios estándares de seguridad a lo largo del tiempo, no fue hasta diciembre de 2004, casi 55 años después de que la tarjeta de cartón de Diner’s Club debutara en 1950, que surgió un estándar a nivel de la industria: el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

Antecedentes de PCI DSS

PCI DSS no es exactamente lo mismo que una regulación gubernamental —como GLBA— porque las infracciones no son delitos penales. Más bien, el Payment Card Industry Security Standards Council (PCI SSC) es un grupo comercial internacional que administra el estándar, califica a los evaluadores y realiza otras actividades regulatorias. PCI DSS es una certificación voluntaria respaldada por la mayor parte de la industria crediticia y bancaria, destinada a proteger las transacciones de pago globales y los datos de cuentas. La certificación PCI significa que una organización, como un minorista o un procesador de tarjetas de crédito/proveedor de tecnología, ha implementado sistemas de seguridad y salvaguardas para evitar el robo, la falsificación u otras alteraciones de los pagos digitales.

Toma en cuenta que el DSS no es el único estándar ni el único conjunto de requisitos que el PCI SSC ha establecido para proteger los pagos y a los tarjetahabientes; esto varía según si tu negocio es un comercio, un proveedor de servicios, un fabricante o un desarrollador de software. De los quince estándares, algunos destacados son:

• Requisitos de Seguridad de Transacciones con NIP (PTS) es un conjunto de requisitos de seguridad enfocados en las características y la gestión de los dispositivos utilizados para proteger los NIP de los tarjetahabientes y otras actividades relacionadas con el procesamiento de pagos.
• Estándar de Seguridad de Datos para Aplicaciones de Pago (PA-DSS) está dirigido a proveedores de software y otros que desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos del titular de la tarjeta y/o datos confidenciales de autenticación como parte de la autorización o la liquidación.
• Estándar de Cifrado Punto a Punto de PCI (P2PE) ofrece un conjunto integral de requisitos de seguridad para que los proveedores de soluciones P2PE validen sus soluciones y puede ayudar a reducir el alcance de PCI DSS para los comercios que utilizan dichas soluciones.

Otros dos son específicos de la producción de tarjetas y la tokenización:

• Requisitos lógicos de seguridad y requisitos de seguridad física para la producción de tarjetas PCI
• Requisitos de seguridad para proveedores de servicios de tokens (TSP) según PCI

¿Cuáles son los requisitos de políticas para PCI DSS?

DSS v1.0 estableció doce requisitos de seguridad y procesos estructurados en seis objetivos de control, y cuatro niveles de reporte basados en las cargas de transacciones. Para brindar aclaraciones y responder a las tecnologías y amenazas en evolución, en la v4.0 estos se han actualizado sustancialmente a:

1. Instala y mantén controles de seguridad de la red
2. Aplicar configuraciones seguras a todos los componentes del sistema
3. Protege los datos de las cuentas almacenadas
4. Protege los datos del titular de la tarjeta con criptografía fuerte durante la transmisión a través de redes abiertas y públicas
5. Protege todos los sistemas y redes contra software malicioso
6. Desarrollar y mantener sistemas y software seguros
7. Restringir el acceso a los componentes del sistema y a los datos del titular de la tarjeta según la necesidad de saber del negocio
8. Identificar a los usuarios y autenticar el acceso a los componentes del sistema
9. Restringir el acceso físico a los datos del titular de la tarjeta
10. Registrar y monitorear todo el acceso a los componentes del sistema y a los datos del titular de la tarjeta
11. Prueba regularmente la seguridad de los sistemas y redes
12. Apoya la seguridad de la información con políticas y programas organizacionales

Para ayudar a las empresas a comprender y abordar estos requisitos, se agrupan según principios rectores (objetivos) que se alinean con las mejores prácticas generalmente aceptadas para proteger cualquier entorno de red (no solo los sistemas de pago):

• Crear y mantener una red y sistemas seguros (requisitos 1 y 2)
• Proteger los datos de la cuenta (requisitos 3 y 4)
• Mantén un programa de gestión de vulnerabilidades (requisitos 5 y 6)
• Implementa medidas sólidas de control de acceso (reqs 7, 8 y 9)
• Monitorea y prueba regularmente las redes (requisitos 10 y 11)
• Mantén una política de seguridad de la información (req 12) 

Los comercios que procesan transacciones deben cumplir con un nivel de evaluación según el volumen anual de negocio, y el banco “adquirente” (p. ej., Visa) puede colocarte en una categoría más alta a su discreción. Cada nivel (ver aquí a través de Mastercard) define cuán exhaustivas deben ser las evaluaciones de los comercios y las prácticas de reporte, lo que también impacta las inversiones necesarias para cumplir con los estándares:

• Nivel de comerciante 1: más de 6 millones de transacciones
• Nivel 2 de comerciante: 1 M–6 M transacciones
• Nivel de comerciante 3: 20,000 – 1 M de transacciones
• Nivel de Comerciante 4: <20,000 transacciones 

Los proveedores de servicios también están sujetos a evaluaciones y deben certificarse en el Nivel 1, definido como >300,000 transacciones, o en el Nivel 2, definido como <300,000 transacciones.

¿Cuáles son las consecuencias de no cumplir?

PCI DSS es similar a ISO y a otras normas de seguridad de la información en el sentido de que confiere responsabilidad por fallas (y multas para las compañías de crédito miembros, que también pueden trasladarse a los comercios, alcanzando hasta $100,000 por mes), pero no es en sí un marco legal—aunque eso no significa que las infracciones no vayan a resultar en demandas.

Equifax sufrió una violación de datos en 2017 que comprometió la información de más de 145 millones de estadounidenses. Entre los datos robados había números de tarjetas de crédito. Las personas afectadas presentaron reclamaciones contra la empresa, lo que resultó en acuerdos que hasta la fecha le han costado a Equifax más de 425 millones de dólares.

Después de que Adobe perdiera números de tarjetas de crédito e información de inicio de sesión de más de 38 millones de usuarios de Adobe en 2013, la empresa enfrentó demandas de 15 estados diferentes y llegó a un acuerdo por 1 millón de dólares, además de montos de acuerdos no revelados.

¿Qué hay de nuevo en PCI DSS v4.0?

PCI DSS v4.0 se publicó públicamente en marzo de 2022, pero no entra plenamente en vigor hasta marzo de 2025. En 2024, la v3.2.1 quedará obsoleta y las organizaciones deben comenzar a implementar los requisitos de la v4.0. El documento de cambios ubicado aquí proporciona detalles, pero las actualizaciones incluyen desde aclaraciones menores de texto hasta nuevas guías sobre el cifrado de números de cuenta. Además, se aplica mayor rigor al establecer roles y responsabilidades en una organización, la defensa contra malware, las políticas de respuesta cibernética, el alcance y mucho más. Dado que el último lanzamiento verdaderamente integral fue la v3.2 en 2016, la v4.0 requiere su atención inmediata.

¿Qué datos están regulados por PCI DSS?

A medida que la tecnología en la industria de servicios financieros ha avanzado, también lo han hecho la cantidad y los tipos de datos procesados. Por ello, la versión 4.0 se ha ampliado para incluir no solo datos de cuenta y otra información personal, sino también datos sensibles de autenticación (SAD), acceso administrativo, registros/revisiones, gestión de certificados, etc. Estas brechas han sido abordadas anteriormente por otros grupos de seguridad de la información, como la Cloud Security Alliance con la Cloud Control Matrix, pero su codificación en PCI DSS aportará mayor rigor a los esfuerzos de cumplimiento de los comercios, especialmente dado que PCI DSS no depende de otras certificaciones.

Ciertos datos nunca deben almacenarse después de completar una transacción (incluso si están ofuscados) y representan un riesgo extremo en caso de una vulneración. El SAD incluye “el código de seguridad de 3 o 4 dígitos impreso en la parte frontal o trasera de una tarjeta, los datos almacenados en la banda magnética o el chip de una tarjeta (también llamados “Datos de Pista Completa”), y los números de identificación personal (PIN) ingresados por el tarjetahabiente” (consulta la página 11 de la Guía de referencia rápida de PCI DSS).

Cómo Cyera respalda el cumplimiento de PCI DSS

Cumplir con cualquier estándar requiere comprender a fondo los datos que posees y procesas; PCI DSS facilita de manera comparativa la identificación de cierta información porque las transacciones solo pueden procesarse si los datos están en un formato específico (p. ej., un número de tarjeta de 16 dígitos). Como resultado, y tal vez indicando su riesgo inherente, es probable que los datos de cuentas de pago estén almacenados en aplicaciones y bases de datos distribuidas por toda tu organización, tanto en endpoints internos como externos. Puedes mitigar estos riesgos mediante el descubrimiento, la clasificación y la identificación de posibles escenarios de explotación de datos que existen en sistemas distribuidos, y tomando acciones correctivas.

Para comercios, proveedores de servicios, fabricantes o desarrolladores de software, Cyera puede ayudarte a fortalecer el cumplimiento de datos PCI mediante:

• Descubrir, clasificar e inventariar datos de titulares de tarjetas y de autenticación que pueden haberse perdido, olvidado o gestionado de forma incorrecta
• Auditar si los datos de PCI han sido ofuscados y por qué métodos. Por ejemplo, si un número de tarjeta de crédito está cifrado, tokenizado, con hash o expuesto como texto sin formato.
• Evaluar la resiliencia de seguridad de tus almacenes de datos que contienen datos de PCI. Cyera te alertará sobre copias de seguridad faltantes, registro insuficiente o configuraciones incorrectas conocidas que pueden exponer los datos.
• Marcación de accesos demasiado permisivos a datos PCI. Con Cyera, puedes ver quién tiene acceso a los almacenes de datos, incluidos los usuarios individuales.
• Marcar violaciones específicas de PCI. Por ejemplo, cuando SAD se almacena en un repositorio de datos, en incumplimiento del requisito 3.2 de PCI DSS de no almacenar este tipo de datos.
• Detección de indicadores de compromiso. Por ejemplo, cuando los datos de PCI se mueven de un entorno seguro y aprobado a uno menos seguro y no aprobado, Cyera puede alertarte sobre estas actividades.

Cumple con confianza

La economía mundial y las empresas que la respaldan están tan interconectadas que una brecha en la franquicia más pequeña puede provocar una filtración masiva que afecte a millones de personas. PCI DSS está diseñado para ayudar a asegurar el procesamiento de transacciones y habilitar el comercio electrónico global. Pero participar en los sistemas y procesos de pago implica tomar las medidas necesarias para proteger no solo tus datos, sino también los de tus clientes y socios.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso y aplicando múltiples capas de defensa. Como Cyera aplica un contexto profundo de los datos de manera holística en todo tu panorama de datos, somos la única solución que puede capacitar a los equipos de seguridad para saber dónde están sus datos, qué los expone al riesgo y tomar medidas inmediatas para remediar exposiciones y garantizar el cumplimiento sin interrumpir el negocio.

Para obtener más información sobre cómo Cyera puede ayudarte a abordar el cumplimiento de PCI, programa una demostración hoy.