¿Necesita Cloud Computing? Empiece ahora

¿Qué es PCI DSS?

Los hackers siguen el dinero, por lo que las transacciones financieras son un foco de actividad de fraude y ciberdelincuencia. Por ejemplo, un informe de Akamai de 2022 reveló que los ataques a aplicaciones web y API contra empresas de servicios financieros crecieron un 257 % en comparación con el año anterior. Además, las cifras de la Comisión Federal de Comercio muestran que los consumidores perdieron casi 8,8 mil millones de dólares en 2022 debido al fraude financiero, un aumento del 44 % con respecto a las cifras de 2021.

Para ayudar a detener la ola de fraude financiero y delitos financieros con los datos de las tarjetas de pago, el consejo de normas de seguridad PCI ofrece un estándar de seguridad de la información conocido como PCI DSS (estándar de seguridad de datos del sector de las tarjetas de pago). A continuación, se muestra lo que implican los requisitos de PCI DSS.

Descripción general de PCI DSS

PCI DSS es un conjunto de estándares de seguridad que se lanzó en 2004; estos estándares se aplican a cualquier organización que acepte, procese, almacene o transmita datos de tarjetas de crédito. PCI DSS es administrado por el PCI SSC (Payment Card Industry Security Standards Council), formado por un consorcio de las principales compañías de tarjetas de crédito: Mastercard, Visa, Discover, American Express y JCB.

PCI DSS es ahora un estándar reconocido a nivel mundial para garantizar la seguridad de los datos de las tarjetas de pago y evitar filtraciones de seguridad. Sin embargo, este estándar de ciberseguridad está sujeto a cambios debido a las amenazas emergentes y en evolución. La versión más reciente es PCI DSS v4.0, publicada en marzo de 2022, y se requiere la plena conformidad en marzo de 2025 (12 meses después de la retirada de PCI DSS v3.2.1 en marzo de 2024).

Diagrama que ilustra las seis áreas de control del cumplimiento de la norma PCI DSS

PCI DSS aborda una serie de amenazas, entre las que se incluyen las siguientes:

  • Malware
  • Phishing
  • Autenticación y control de acceso remoto
  • Contraseñas poco seguras
  • Software heredado
  • Robo de tarjetas

Controles de seguridad PCI DSS

Los 12 controles para proteger los datos de los titulares de tarjetas cubiertos por PCI DSS se basan en el espíritu de "personas, procesos y tecnología". Los controles incluyen el uso de un firewall, la minimización de datos, la transmisión cifrada de los datos de los titulares de tarjetas, controles de acceso sólidos, software antivirus y pruebas de penetración periódicas y evaluación de riesgos de vulnerabilidad, gestión de parches y control general del entorno seguro.

Tipos de organizaciones que deben cumplir con la norma PCI DSS

Cualquier empresa que gestione transacciones financieras es el objetivo de los ciberdelincuentes, que siguen el dinero. Pérdidas de comercio electrónico debidas a fraude de pago en línea se espera que alcancen más de 48 mil millones de dólares en todo el mundo para finales de 2023. La encuesta sobre fraudes y delitos económicos globales de 2022 de PwC reveló que más de la mitad de los encuestados habían sufrido fraude financiero en los dos años anteriores. Según el informe de investigaciones de Verizon sobre filtraciones de datos de 2023 (DBIR), en el sector financiero, el uso indebido de privilegios está detrás de la mayoría de las filtraciones de datos.

Dado que el estándar PCI DSS se aplica a cualquier organización que acepte, procese, almacene o transmita datos de titulares de tarjetas, los siguientes tipos de organizaciones deben demostrar el cumplimiento del estándar:

  • Comerciantes de todos los tamaños
  • Instituciones financieras
  • Procesadores de pagos, tanto basados en hardware como en software
  • Proveedores de puntos de venta (POS)

Entre los ejemplos de organizaciones afectadas por PCI DSS se incluyen los siguientes:

Pequeños comerciantes y minoristas

Las pequeñas y medianas empresas (pymes) corren el mismo riesgo de sufrir una filtración de datos grave que sus homólogos de mayor tamaño. Según el DBIR de 2022, el 61 % de las pymes sufrieron al menos una filtración de datos. Los pequeños comerciantes deben cumplir los principios de PCI DSS, en virtud de los cuales existen cuatro niveles de cumplimiento para los comerciantes:

Level 1: Procesamiento de más de 6 millones de transacciones con tarjetas al año

Level 2: Procesamiento de 1 a 6 millones de transacciones al año

Level 3: Procesamiento de 20 000 a 1 millón de transacciones al año

Level 4: Procesamiento de menos de 20 000 transacciones al año

Los pequeños comerciantes deben garantizar que la seguridad se enfoque como un ejercicio integral: garantizar que sus sistemas de TI estén protegidos mediante cortafuegos, implementar controles de acceso sólidos y aplicar el cifrado a los datos de los titulares de tarjetas. Para lograr y simplificar este nivel de seguridad de 360 grados, las pymes deben buscar soluciones que puedan proteger los datos, los dispositivos y las personas.

Proveedores de servicios

Un proveedor de servicios es cualquier empresa que pueda afectar a la seguridad de los datos de pago, incluso si pertenece a otra organización. PCI DSS tiene dos niveles de conformidad que dependen de los niveles de transacción gestionados por el proveedor de servicios:

Level 1 Proveedor de servicios: 300 000 o más transacciones al año (2,5 millones o más de transacciones para American Express)

Proveedor de servicios de nivel 2: Menos de 300 000 transacciones al año (menos de 2,5 millones de transacciones para American Express)

Al igual que con los establecimientos de pymes, los proveedores de servicios deben cumplir las medidas y controles de seguridad PCI DSS.

¿Cómo puede ayudar Akamai a cumplir con la norma PCI DSS v4.0?

Akamai está certificada como proveedor de servicios de nivel 1 de PCI DSS, el nivel más alto de evaluación. Akamai también ofrece una gama de soluciones que ayudan a su organización a cumplir los seis pilares de PCI DSS. Las siguientes soluciones de Akamai ofrecen controles de seguridad compatibles con PCI para ayudar a cumplir los 12 requisitos de PCI:

App & API Protector con protección contra malware: Garantice el cumplimiento de los registros y protéjase contra la filtración de datos de información de identificación personal (PII), los ataques de día cero y las CVE, así como otros ataques basados en el borde de Internet.

API Security: Detecte y mitigue el comportamiento de las API y el abuso de lógica, protegiendo el sitio, los activos y la pérdida de PII.

Client-Side Protection & Compliance: Mantenga un inventario y justificación de todos los scripts ejecutados en el navegador, supervise los cambios en el comportamiento de los scripts y marque cualquier actividad sospechosa de los scripts.

Guardicore Segmentation de Akamai: Defina el alcance de los activos regulados para lograr el cumplimiento más fácilmente.

Secure Internet Access Enterprise: Bloquee o supervise las cargas de contenido que contengan datos PII, PCI DSS o HIPAA.

Preguntas frecuentes

La norma PCI DSS (Payment Card Industry Data Security Standard) establece estándares de seguridad para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro.

Cualquier organización, independientemente del tamaño o el número de transacciones, debe cumplir con PCI DSS si acepta, transmite o almacena datos de titulares de tarjetas.

Cualquier organización cubierta por PCI DSS está sujeta a estrictas sanciones y multas por incumplimiento de la norma. Las multas varían y dependen de la gravedad de la infracción de la normativa. Pero las multas típicas son de unos pocos miles a cientos de miles de dólares, que pueden continuar hasta la rectificación. Sin embargo, el coste para la reputación puede ser mucho mayor. La falta de confianza de los clientes debido a las filtraciones de datos puede provocar la pérdida de clientes e incluso acciones de clase: Una filtración de datos que implicaba 34 millones de tarjetas de pago terminó en una demanda de 8 millones de dólares en 2019; la investigación encontró varias infracciones de la norma PCI DSS.

Las organizaciones que cumplen con la norma PCI DSS deben centrarse en proteger los datos financieros. La seguridad PCI DSS abarca dos clases generales de datos: los datos del titular de la tarjeta y los datos de autenticación confidenciales.

Datos del titular de la tarjeta

  • Número de cuenta principal (PAN) 
  • Nombre del titular de la tarjeta 
  • Fecha de caducidad 
  • Código de servicio 

Datos de autenticación confidenciales

  • Datos de seguimiento completos (datos de banda magnética o equivalentes en un chip) 
  • CAV2/CVC2/CVV2/CID 
  • PIN/Bloques PIN

Por qué los clientes eligen Akamai

Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.

Descubra todas las soluciones de seguridad de Akamai