X
Ir directamente al contenido
Español
Contacta con nosotros
  • No hay sugerencias porque el campo de búsqueda está vacío.

Cómo cumplir con la normativa PCI

Este artículo de ayuda explica cómo cumplir la normativa PCI en pasos claros y prácticos. Si tu empresa acepta pagos con tarjeta, la normativa PCI DSS se aplica a ti. Seguir estos pasos te ayudará a cumplir con la normativa PCI, validar el cumplimiento correctamente y mantenerlo año tras año. 

¿Qué significa cumplir con la normativa PCI? 

La norma PCI DSS (Payment Card Industry Data Security Standard) es una norma de seguridad global establecida por las principales marcas de tarjetas. Cualquier empresa que almacene, procese o transmita datos de titulares de tarjetas debe cumplir con la normativa. 

No existe un certificado oficial de PCI DSS para los comerciantes. En su lugar, validas el cumplimiento anualmente a través de: 

  • Un Cuestionario de Autoevaluación (SAQ) o una evaluación de un QSA- 

  • Análisis trimestrales de vulnerabilidades 

  • Una declaración de cumplimiento (AOC)

El camino más rápido y sencillo hacia el cumplimiento de la normativa PCI 

Puedes seguir los pasos que se indican a continuación para cumplir con la normativa PCI, pero muchos comerciantes prefieren una opción más sencilla: trabajar con un procesador de pagos que se encargue del cumplimiento de la normativa PCI por ti. 

Por ejemplo, el programa PCI Plus de Sekure Expertos en Pagos está diseñado para que los comerciantes cumplan la normativa sin la carga administrativa habitual. Con PCI Plus, muchos comerciantes obtienen beneficios como: 

  • Ausencia de programas de PCI, de incumplimientos y de comisiones por PCI-

  • Sin necesidad de realizar trámites administrativos de tu parte

  • Sin SAQ, análisis ni verificación anual de PCI-

  • Sin formularios ni requisitos de terceros-

  • Sin necesidad de dedicar mucho tiempo ni dinero a mantener el cumplimiento normativo

Sekure se encarga de las tareas más complejas, controles de seguridad, asistencia en la validación y supervisión continua del cumplimiento normativo, para que tu empresa esté protegida frente a la responsabilidad derivada del procesamiento de tarjetas, mientras te centras en la gestión de tus operaciones.- 

Si prefieres tener una visibilidad total y un control directo, sigue el proceso paso a paso de PCI DSS que se indica a continuación.---- Si buscas la forma más rápida y sencilla de cumplir con la normativa PCI, una solución gestionada como PCI Plus puede ser la mejor opción. 

Proceso paso a paso de PCI DSS-- 

Paso 1: Determinar tu nivel de cumplimiento PCI 

Tu nivel de cumplimiento PCI depende del volumen anual de transacciones y del nivel de riesgo. 

Nivel de comerciante Validación típica
Nivel 1  Evaluación en el sitio por parte de un QSA + Informe de cumplimiento (ROC) 
Nivel 2 a 4  SAQ + análisis trimestrales de ASV + AOC 

Confirma tu nivel y el SAQ requerido con tu procesador de pagos. 

Paso 2: Delimitar tu entorno 

Identifica dónde entran en contacto los datos de las tarjetas con tus sistemas: 

  • Dispositivos POS 

  • Pago de ecommerce 

  • API, servidores o bases de datos 

  • Proveedores externos- 

Define tu Entorno de datos de titulares de tarjetas (CDE) y sepáralo del resto de tu red. Reducir el alcance es la forma más rápida de cumplir con la normativa PCI. 

Paso 3: Implementar los requisitos de la normativa PCI DSS 

Debes cumplir todos los controles aplicables de la normativa PCI DSS. Entre los requisitos clave se incluyen: 

Proteger los datos de las tarjetas 

  • No almacenar datos de tarjetas a menos que sea necesario 

  • Utilizar la tokenización o el cifrado 

  • Cifrar datos en tránsito (TLS 1.2+) 

Control de acceso 

  • Identificadores de usuario únicos (sin cuentas compartidas) 

  • Autenticación multifactor para administradores y acceso remoto- 

  • Acceso con el mínimo privilegio- 

Sistemas seguros 

  • Firewalls y segmentación de la red 

  • Aplicación periódica de parches y gestión de vulnerabilidades 

  • Protección contra malware cuando sea aplicable 

Supervisar y realizar pruebas 

  • Registro centralizado 

  • Análisis trimestrales de vulnerabilidades de ASV 

  • Pruebas de penetración anuales 

Paso 4: Validar el cumplimiento 

La validación depende de tu nivel: 

  • Completa el SAQ correcto 

  • Realiza y aprueba los análisis de ASV trimestrales 

  • Enviar la Declaración de cumplimiento (AOC) 

  • Los comerciantes de nivel 1 requieren una evaluación dirigida por un QSA- y presentar un ROC 

A veces, a esta validación se le denomina "certificado pci dss", pero la prueba oficial es el AOC o ROC, no un certificado. 

Need help becoming PCI compliant sp