La versión 4.0 del Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS 4.0 o, simplemente, PCI 4.0) es la nueva norma mundial para proteger los datos de las cuentas de pago contra los ciberataques.
Publicada por el PCI SSC (Consejo de Normas de Seguridad) el 31 de marzo de 2022, la PCI 4.0 reemplaza a la versión anterior, la 3.2.1. Tras el lanzamiento de la versión 4.0, el PCI SSC anunció que la 3.2.1 solo seguiría en funcionamiento durante dos años y que este periodo de transición finalizaría el 31 de marzo de 2024.
Si aún no has leído qué es la PCI 4.0, qué normas nuevas introduce y qué debe hacer tu empresa para prepararse, no hay mejor momento que este.
La PCI 4.0 tiene 12 requisitos para crear y mantener un entorno de pago seguro y de confianza. Pero en qué medida te afecta la PCI 4.0, así como cuáles son tus responsabilidades exactas en términos de cumplimiento, depende del tamaño de tu empresa y de quién es responsable de proteger los datos de las cuentas de tus clientes: ya seas tú, Checkout.com o tu plataforma de comercio electrónico.
Ahora que se acerca la fecha límite para cumplir la normativa, te explicamos todo lo que necesitas saber sobre la PCI 4.0. ¿Qué es la PCI 4.0? ¿Cuáles son sus novedades? ¿Cuáles son los 12 requisitos de la PCI 4.0 y cuándo hay que implementarlos?
Sigue leyendo para descubrirlo.
La PCI 4.0 es la versión más reciente de PCI DSS: un conjunto de normas de seguridad que deben cumplir todos los comercios que aceptan pagos con tarjetas de crédito y débito.
Este reglamento proporciona un marco que las empresas deben seguir para proteger los datos confidenciales de los titulares de tarjetas y garantizar una gestión eficaz y sin errores de las transacciones de pago con tarjeta. Esto ayuda a proteger tanto a tus clientes como a tu empresa de los ladrones, piratas informáticos y estafadores en línea, lo cual eso no solo afecta a las finanzas de tu empresa, sino también a su reputación.
No vamos a entrar en detalles sobre qué es la PCI DSS ni sus requisitos más generales, ya que lo hacemos con mucho más detalle en nuestra guía completa sobre el cumplimiento de la normativa PCI orientada a los comercios.
En este caso, nos centramos únicamente en la PCI 4.0, en sus novedades y en lo que supone para tu empresa.
El objetivo de la PCI 4.0, basada en más de 6000 comentarios de más de 2000 organizaciones, es satisfacer las necesidades cambiantes de seguridad de las empresas en un entorno donde tanto la tecnología como las ciberamenazas evolucionan a un ritmo cada vez más rápido.
Entonces, ¿qué novedades trae la PCI 4.0? Echemos un vistazo a algunos de los cambios más recientes:
Debemos señalar que, aunque hemos hecho un resumen de los principales cambios que la PCI 4.0 introduce, esta lista no es en absoluto exhaustiva. Sin embargo, esa visión tan exhaustiva, quizás incluso un poco agotadora, existe. Elaborado por el PCI SSC, se llama Resumen de cambios y puedes descargar sus 36 páginas del sitio web del PCI SSC.
La PCI 4.0 entrará en vigor el 1 de abril de 2024, fecha en que pasará a ser la única norma activa de la PCI.
Esto supone dos años después de que se anunciara por primera vez la norma y marca el final del periodo de transición desde la versión anterior, la 3.2.1, que se retiró oficialmente el 31 de marzo de 2024. Esto implica que, a partir del 1 de abril de 2024, tendrás que asegurarte de que tu empresa cumple con la última norma, la 4.0, y no con la que venía cumpliendo hasta ahora.
A partir del 1 de abril de 2024, el cumplimiento de la PCI 4.0 es obligatorio, sin excepción.
Sin embargo, el PCI SSC ofrece cierto margen de maniobra con algunos de los nuevos requisitos que introduce la versión 4.0, sobre todo los que implican la incorporación de nuevas tecnologías o procesos técnicos.
Por consiguiente, dispondrás de un año más, hasta el 31 de marzo de 2025, para que tu empresa cumpla estos requisitos de la PCI 4.0 exentos temporalmente, de los que hay casi 60.
Hasta entonces, la adopción de estos requisitos actualizados no es obligatoria, sino simplemente una «mejor práctica». Se trata de una buena noticia para los comercios, ya que les da un poco más de tiempo para adaptarse a los requisitos más exigentes desde el punto de vista técnico que introduce la PCI 4.0. Sin embargo, que dispongas de ese tiempo extra no quiere decir que tengas que utilizarlo. Por otro lado, cuando se trata del cumplimiento de la normativa PCI, cuanto antes lo hagas, mejor.
Obtén más información: Oportunidades que el PCI DSS 4.0 ofrece
A continuación, presentamos los 12 requisitos de la PCI 4.0. Estos mantienen la versión anterior de la PCI 3.2.1 y, en algunos aspectos, la amplían. Proporcionan asesoramiento específico sobre las estrategias y procesos de seguridad que tu empresa debe seguir para cumplir la PCI 4.0 (suponiendo que estas responsabilidades de la PCI recaigan sobre ti y no sobre tu proveedor de servicios de pago o plataforma de comercio electrónico).
Repetimos que esta lista no abarca (ni puede abarcar) todos los requisitos en detalle. Para ello, recomendamos visitar el sitio web del PCI SSC o consultar el documento Resumen de cambios al que hemos enlazado anteriormente.
El PCI SSC siempre ha establecido requisitos específicos para instalar y administrar un cortafuegos de red. Los cortafuegos supervisan y controlan el tráfico de red entrante y saliente, según reglas de seguridad por defectos, para proteger el entorno de datos de los titulares de tarjetas contra el acceso no autorizado (si manejas datos de titulares de tarjetas, necesitarás cortafuegos robustos).
Sin embargo, con la introducción de la PCI 4.0, se ha pasado de los cortafuegos y los enrutadores a lo que las directrices denominan controles de seguridad de red (NSC).
Sin embargo, en última instancia, este cambio semántico parece ser más fortuito que instrumental. Su principal objetivo es dar a tu organización más libertad para configurar y gestionar la seguridad con el fin de proteger los datos de los titulares de tarjetas frente a amenazas externas y redes no seguras, y los cortafuegos siguen siendo una forma excelente y muy eficaz de hacerlo.
En lo que respecta a la configuración por defecto suministrada por el proveedor (ya sea para dispositivos de red, aplicaciones, servidores, cortafuegos, enrutadores o cualquier «software» del que dependa tu empresa), las directrices de la PCI 4.0 dictan que siempre hay que cambiarla por alternativas propias y más seguras.
¿Por qué? Porque estos productos suelen venir con contraseñas débiles, predecibles y fáciles de adivinar como estándar, lo que no es bueno.
Las directrices revisadas de la PCI 4.0 vuelven a modificar ligeramente el enfoque (esta vez alejándose de los valores predeterminados suministrados por el proveedor y centrándose en las «configuraciones seguras»), pero se trata de algo similar.
El tercer requisito de la PCI 4.0 es crucial y se centra en cómo proteger los datos de cualquier cuenta o titular de tarjeta que posea.
Por supuesto, esto no siempre se aplicará a tu empresa. Si procesas transacciones con tarjetas de crédito y débito a través de un proveedor de servicios de pago como Checkout.com, por ejemplo, almacenaremos esa información por ti para aliviar la parte más pesada de tu obligación de cumplimiento con la PCI 4.0.
Sin embargo, si almacenas datos de cuentas y titulares de tarjetas, la PCI 4.0 exige cifrar algorítmicamente estos datos y escanearlos periódicamente para asegurarte de que permanecen así. Es especialmente importante proteger el PAN (número de cuenta principal), que es el número que figura delante de la tarjeta de crédito o débito del cliente. Existen varias estrategias eficaces, como la tokenización, que reemplaza el PAN por una cadena alfanumérica aleatoria, para ayudarte a lograrlo.
Del mismo modo que la PCI 4.0 exige proteger los datos de los titulares de tarjetas cuando están almacenados, estas directrices también obligan a cifrarlos cuando se utilizan (por ejemplo, cuando se utilizan PAN guardados para facturar a un cliente por un servicio recurrente, como una suscripción o membresía). Esto resulta especialmente importante si se tiene en cuenta que a los piratas informáticos les encanta atacar los datos en movimiento, ya que hay más eslabones en la cadena de transmisión que identificar y explotar.
De nuevo, la tokenización de pagos es una forma excelente de garantizar la seguridad de los datos de los titulares de tarjetas cuando se utilizan, sobre todo teniendo en cuenta que la PCI 4.0 exige una «criptografía sólida» de los datos transmitidos.
El quinto requisito de la PCI 4.0 tiene que ver con la protección de los sistemas y redes de tu empresa contra el «software» malintencionado. Este siempre ha sido un aspecto de la PCI, pero la última versión deja margen para que tu organización adopte en su defensa tecnologías emergentes más avanzadas, como herramientas de prevención de amenazas basadas en inteligencia artificial (IA) y aprendizaje automático (ML).
Este requisito responde a la creciente amenaza del «malware» (que 2300 responsables de ciberseguridad de grandes organizaciones identificaron como la mayor ciberamenaza) en 2024. Además de instalar «software antimalware» de confianza, la PCI 4.0 exige que se actualice periódicamente y se mantenga a un alto nivel.
El sexto mandato de la PCI 4.0, que se solapa en cierta medida con varios de los demás requisitos aquí expuestos, trata sobre la seguridad de tus sistemas y «software» (por ejemplo, cortafuegos, «software» antivirus, sistemas POS, etc.). Las mejores prácticas de la PCI 4.0 también requieren actualizar periódicamente la configuración de seguridad de todo el «software» y «hardware» con los últimos parches y correcciones, así como mantener al día la documentación relativa a los procesos de mejora de la seguridad y los sistemas.
Sin embargo, con la ampliación del enfoque de la PCI 4.0, el requisito 6 abarca ahora no solo las aplicaciones de tu empresa, sino todo el «software» implicado en el proceso de pagos.
Parte de ello incluye:
De nuevo, no queremos entrar en demasiados detalles aquí. Recuerda que el sitio web del PCI SSC es el mejor lugar para ello.
Para obtener un resumen de alto nivel de los otros 12 requisitos de PCI 4.0, sigue leyendo.
Si las demás directrices de la PCI controlan qué información se almacena o cómo se almacena, el 7.º requisito determina quién tiene acceso a los datos confidenciales de los titulares de tarjetas de tu organización.
La PCI 4.0 exige que tu empresa pueda permitir o denegar el acceso a estos datos en función de los permisos y funciones individuales dentro de tu organización.
Básicamente, establece que solo se puede acceder a los datos de los titulares de tarjetas cuando «sea necesario» y no por cualquier empleado al que le apetezca echar un vistazo (esto es válido tanto para el acceso digital como para el físico. Para obtener más información sobre este último, desplázate hasta el 9.º requisito).
Además, la PCI 4.0 introdujo el requisito de un proceso continuo de revisión de cuentas y accesos, lo que supone que debes evaluar (y, si es necesario, actualizar) las funciones y permisos de los usuarios cada seis meses y conceder el acceso solo en función de los «privilegios mínimos». (Esto garantiza que los usuarios con acceso a los datos de los titulares de tarjetas solo tengan el acceso mínimo necesario para hacer su trabajo y nada más).
La octava directriz de la PCI 4.0 exige que todos los usuarios con acceso a los datos de los titulares de tarjetas tengan sus propias contraseñas y nombres de usuario únicos y personales para acceder. Esto tiene un doble propósito: proteger estos datos contra piratas informáticos externos, al tiempo que permite rastrear cualquier actividad hasta el usuario que accedió a ellos, conocimiento que es vital en caso de una brecha interna.
La PCI 4.0 modificó en gran medida las reglas en torno al 8.º requisito, con el mayor cambio en torno a la configuración de contraseñas. Según la PCI 4.0, las contraseñas de los usuarios deben tener un mínimo de 12 caracteres y las contraseñas de las cuentas de aplicaciones y sistemas deben cambiarse con la frecuencia que una evaluación de riesgos específica considere oportuna. (La frecuencia de cambio está vinculada a la complejidad de las contraseñas: las contraseñas más cortas requerirán cambios más frecuentes, mientras que las contraseñas más complejas necesitarán menos cambios).
El otro cambio fundamental que la PCI 4.0 exige al 8.º requisito es que las organizaciones ahora deben implementar la autenticación multifactor para todos los usuarios con acceso a los datos de los titulares de tarjetas, no solo para los administradores. La PCI 4.0 también exige que los sistemas de MFA sean resistentes a los ataques y que las empresas mantengan un control estricto sobre las anulaciones administrativas.
El cumplimiento de la PCI 4.0 exige que gestiones el acceso de los empleados a los datos de los titulares de tarjetas no solo de forma digital, sino también física, lo que evita el acceso no autorizado a los archivos en papel, los puestos de trabajo o los servidores que almacenan o transmiten información confidencial. Puedes hacerlo mediante un sistema de control de acceso en tu edificio y garantizando una cobertura suficiente de CCTV en las zonas clave.
El único requisito nuevo que añade la PCI 4.0 es una revisión periódica de los dispositivos de punto de venta (TPV) de tu empresa, basada en un análisis de riesgos específico. La PCI 4.0 también aclara parte del lenguaje en torno a las tres áreas físicas que abarca el 9.º requisito: información confidencial, CDE e instalaciones.
Este requisito de la PCI 4.0 exige registrar los recursos de tu red y los datos de los titulares de tarjetas: mantén un registro preciso de cada vez que alguien de tu organización acceda a esta información.
Además, esto permite mantener una documentación precisa sobre los datos confidenciales: por qué y cómo se manejan, dónde se almacenan y a dónde se envían.
Según la PCI 4.0, las organizaciones deben:
Conforme a la PCI 4.0, es vital realizar pruebas periódicas de tus procesos, redes y sistemas, lo que puedes hacer mediante técnicas como las pruebas de vulnerabilidad y las pruebas de penetración.
También tendrás que llevar a cabo escaneos periódicos del analizador inalámbrico (normalmente cada trimestre) y contar con un proveedor de escaneos aprobado por la PCI (ASV) para realizar comprobaciones de tus IP y dominios externos. Además de identificar estas vulnerabilidades o filtraciones en tu configuración de seguridad vigente, también serás responsable de solucionarlas. Esto contribuirá a garantizar la seguridad de tus sistemas y a que pongas tu granito de arena para proteger los datos de tus clientes.
El último requisito de la PCI 4.0 exige que tu organización elabore y mantenga una política de seguridad de la información (InfoSec). Procura revisarla manualmente en el futuro y fomentar la participación de los empleados, la dirección y las terceras partes interesadas.
Según los últimos cambios que introduce la PCI 4.0, también tendrás que revisar y actualizar tu programa de concienciación sobre seguridad cada 12 meses, lo que incluye incorporar nuevos contenidos para abarcar las últimas amenazas y vulnerabilidades, así como garantizar que tu equipo sabe cómo detectar, reaccionar e informar sobre posibles ciberataques. Además, será necesario que refuerces los procedimientos de respuesta a incidentes para garantizar que tu equipo pueda reaccionar rápida y correctamente en caso de exposición a los PAN.
Cualesquiera que sean tus responsabilidades, debes revisar y validar tu certificación PCI DSS una vez al año. Los asesores de seguridad cualificados (QSA) son personas y organizaciones independientes aprobadas por el Consejo de Normas de Seguridad de la PCI que validan el cumplimiento con la PCI DSS. Estos te ayudan a elegir el cuestionario de autoevaluación (SAQ) de la PCI 4.0 adecuado para tu empresa y te apoyan a lo largo del proceso.
Checkout.com se asocia con SecurityMetrics, una empresa de QSA, para ayudar a los comercios a cumplir con la PCI DSS. SecurityMetrics te contactará cada año para su revisión y validación si has optado por utilizarlos durante tu solicitud.
SecurityMetrics está mejor preparada para responder a preguntas específicas sobre tu ámbito de cumplimiento. Para conocer la mejor forma de contactar con SecurityMetrics, visita su sitio web.