Skip to main content
Blog
Blog

Guía completa y pasos de PCI DSS 4.0.1

Guía completa y pasos de PCI DSS 4.0. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de directrices que garantiza la seguridad

Mar 04, 2024 14 min read
PCI-DSS-4.0.1-Complete-Guide-cside
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de directrices que garantiza la seguridad de las transacciones con tarjeta a nivel mundial. Creado por el PCI Security Standards Council, su objetivo es proteger contra el robo de datos y el fraude en transacciones con tarjetas de débito y crédito.

La versión más reciente del estándar PCI, PCI DSS 4.0, modifica los criterios haciendo hincapié en la seguridad continua e introduciendo nuevos métodos de cumplimiento. Reemplaza a la versión PCI DSS 3.2.1 (mayo de 2018) para abordar estratégicamente las amenazas y tecnologías emergentes, ofrece enfoques innovadores para hacer frente a las amenazas crecientes y protege otros elementos del ecosistema de pagos.

PCI DSS 4.0 se aplica a todas las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta (CHD) y/o datos de autenticación sensibles (SAD), o que puedan afectar a la seguridad del entorno de datos del titular de la tarjeta (CDE). Esto incluye a todas las entidades que procesan cuentas de tarjetas de pago, como comerciantes, procesadores, adquirentes, emisores y otros proveedores de servicios.

Así que probablemente también te aplica a ti.

El nivel gratuito de cside te hace cumplir la normativa y mantiene tu sitio seguro. Nuestros niveles de pago aumentan la flexibilidad y la seguridad de tu sitio frente a los ataques que esta nueva regulación busca combatir, ayudándote a garantizar el cumplimiento de los requisitos PCI 6.4.3 y 11.6.1.

Empecemos por las novedades:

Ahora debes monitorizar los scripts de terceros

Esto es lo que necesitas saber:

  • PCI DSS 4.0 (concretamente el requisito 6.4.3) obliga a todos los proveedores a autorizar cada script en las páginas de pago, mantener un inventario de todos los scripts y garantizar su integridad. El requisito 11.6 subraya la necesidad de detectar y responder a modificaciones no autorizadas en las páginas de pago, incluidos cambios en las cabeceras HTTP y en el contenido de las páginas.
  • Las organizaciones deben verificar estas configuraciones al menos una vez cada siete días o según lo determine su evaluación de análisis de riesgos.
  • La actualización de PCI DSS 4.0 exige a las organizaciones mantener un inventario de todos los componentes del sistema relevantes para PCI DSS, incluyendo software a medida y personalizado, pero también scripts de terceros.
  • Además, PCI DSS 4.0 fomenta el paso de auditorías anuales a una monitorización de seguridad continua, con revisiones y actualizaciones periódicas de los componentes del sistema y el software.

Como se ha mencionado, el nivel gratuito de cside hace todo esto. Te mostramos qué scripts están ejecutando qué, y puedes gestionar exactamente qué quieres bloquear.

Nuestros niveles de pago aumentan la seguridad cuando algo sale mal. Ofrece funciones de bloqueo personalizadas y automatizadas, otras formas de recibir notificaciones y exportación de registros, entre otras cosas.

Los 6 principios fundamentales y los 12 requisitos de PCI DSS 4.0

PCI DSS 4.0 se basa en seis principios fundamentales orientados a fomentar un entorno seguro para quienes realizan (y quienes facilitan) transacciones en línea:

  1. Construir y mantener una red segura para los datos del titular de la tarjeta (CHD).
  2. Proteger los datos del titular de la tarjeta (CHD) almacenados o transmitidos.
  3. Mantener un programa de gestión de vulnerabilidades que incorpore políticas de seguridad y pruebas.
  4. Aplicar medidas estrictas de control de acceso basadas en la necesidad del negocio.
  5. Monitorizar y probar continuamente las redes en busca de vulnerabilidades.
  6. Desarrollar y mantener una política de seguridad de la información integral, educando a los empleados sobre su papel en la protección de los CHD.

¡Todo lo necesario para crear un entorno más seguro para quienes navegan por la web!

Además, hay 12 requisitos para cumplir la normativa.

Ten en cuenta que algunos de estos ya estaban incluidos en versiones anteriores de PCI DSS, por lo que la mayoría ya debería tenerlos o al menos haberlos iniciado. Si utilizas frameworks existentes para tu sitio (herramientas como Shopify, Webflow, o plantillas base y bibliotecas), comprueba si incluyen esas funcionalidades.

Dicho esto, aquí están:

1. Instalar y mantener controles de seguridad de red. Los comerciantes deben garantizar una red segura mediante Controles de Seguridad de Red (NSC) como cortafuegos, enrutadores y medidas robustas de acceso a la nube. Estos controles deben gestionar el tráfico según reglas predefinidas, con el objetivo de proteger el Entorno de Datos del Titular de la Tarjeta (CDE) bajo el estándar PCI DSS.

2. Aplicar configuraciones seguras a todos los componentes del sistema. PCI DSS v4.0 introduce nuevos requisitos para roles y responsabilidades en la protección de configuraciones de redes inalámbricas. Implementar estas configuraciones puede minimizar las posibles superficies de ataque y la probabilidad de que el sistema se vea comprometido.

3. Proteger los datos de cuenta almacenados (SAD). Las empresas deben implementar métodos de protección como cifrado, truncamiento, enmascaramiento y hashing para proteger los Datos de Autenticación Sensibles (SAD) y minimizar el riesgo.

  • Evitar almacenar Datos de Autenticación Sensibles (SAD) a menos que sea necesario.
  • Truncar los datos del titular de la tarjeta si no se requiere el Número de Cuenta Principal (PAN) completo.
  • No enviar PANs sin protección a través de tecnologías de mensajería para el usuario final, como correo electrónico o mensajería instantánea. El cifrado de los Datos de Autenticación Sensibles (SAD) no es obligatorio cuando los datos se encuentran en memoria volátil como la RAM, pero deben eliminarse una vez que su propósito comercial haya concluido. Si el almacenamiento de SAD se vuelve persistente, se aplican todos los requisitos de PCI DSS 4.0, incluido el cifrado.

4. Usar criptografía robusta para proteger los datos del titular de la tarjeta durante su transmisión por redes públicas. Esto garantiza la confidencialidad, integridad y no repudio de los datos. Todas las transmisiones de PAN deben estar cifradas para evitar que los datos se vean comprometidos.

  • Cifrar los datos antes de la transmisión
  • Cifrar la sesión a través de la cual se transmiten los datos

Además, la empresa debe evaluar sus parámetros de seguridad de red frente a los requisitos aplicables de PCI DSS 4.0 si la red almacena, procesa o transmite CHD.

5. Proteger todos los sistemas y redes contra software malicioso. PCI DSS 4.0 reemplaza el término software antivirus por software antimalware. Un cambio aparentemente semántico, pero que ahora exige a las entidades implementar soluciones antimalware para proteger sus sistemas frente a las amenazas de malware actuales y en evolución. Como:

  • Virus
  • Gusanos
  • Troyanos
  • Spyware
  • Ransomware
  • Código malicioso, scripts, enlaces

Queremos recordarte de nuevo que cside lista y protege cualquier script de terceros que utilices. Si llegaran a verse comprometidos, ya sea en tu propio sitio web o a nivel global, estarás protegido.

6. Crear y mantener sistemas y software seguros. Las empresas deben aplicar parches de software a todos los componentes del sistema para evitar la explotación de datos de cuentas. PCI DSS 4.0 exige procesos de ciclo de vida del software y codificación segura para el software personalizado. Los repositorios de código que almacenan código de aplicaciones o datos que afectan a la seguridad de los datos de cuentas están dentro del alcance de las evaluaciones de PCI DSS 4.0.

7. Limitar el acceso a los componentes del sistema y a los datos del titular de la tarjeta según la necesidad de conocer del negocio. Este requisito obliga a las empresas a implementar controles que garanticen que el acceso a los datos críticos esté limitado únicamente al personal autorizado, en función de la necesidad de conocer y las responsabilidades del puesto, evitando así el acceso no autorizado.

8. Identificar a los usuarios y autenticar el acceso a los componentes del sistema. Esto exige una identificación y autenticación de usuario única para el acceso a los componentes del sistema. Garantiza la responsabilidad y la trazabilidad de las acciones, y se aplica a todas las cuentas, incluidas las de POS, administración, sistema y aplicaciones.

9. Restringir el acceso físico a los datos del titular de la tarjeta. Los comerciantes y empresas deben limitar el acceso físico a los sistemas que gestionan datos del titular de la tarjeta (CHD) para evitar brechas o pérdida de privacidad del titular.

10. Registrar y monitorizar todo el acceso a los componentes del sistema y a los datos del titular de la tarjeta. El Requisito 10 de PCI DSS 4.0 subraya la importancia de los registros de auditoría y el seguimiento de la actividad de los usuarios en el Entorno de Datos del Titular de la Tarjeta (CDE) y los componentes del sistema. Esto permite disponer de rastros de auditoría, seguimiento, alertas y análisis en caso de que el sistema se vea comprometido, y se aplica a todas las actividades de los usuarios.

11. Probar con frecuencia la seguridad de sistemas y redes. Las empresas deben probar regularmente todos los componentes del sistema, los procesos y el software personalizado para garantizar que los controles puedan gestionar adecuadamente el panorama de amenazas en evolución, conforme a PCI DSS.

12. Respaldar la Seguridad de la Información (SI) con políticas y programas organizativos. Según el requisito final, todas las empresas deben implementar una política de seguridad de la información. Esta política debe informar al personal sobre la sensibilidad de los datos de tarjetas de pago y su responsabilidad de protegerlos.

¿Qué ocurre si no cumples la normativa?

La mayoría de los cambios solo entran en vigor a partir del 31 de marzo de 2025, aunque algunos ya eran obligatorios desde el 31 de marzo de 2024. Así que realmente queda poco tiempo. Es mejor que te pongas a ello ahora, de lo contrario pueden surgir posibles consecuencias:

  • Los procesadores de tarjetas suelen trasladar las tarifas de cumplimiento e incumplimiento de PCI a los comerciantes, con muchos proveedores. Sin embargo, el pago de estas tarifas no garantiza el cumplimiento de PCI DSS 4.0, y los comerciantes deben igualmente completar el SAQ anual y cumplir otros requisitos para mantener la conformidad.
  • Las empresas que no cumplan con PCI DSS 4.0 pueden enfrentarse a una penalización mensual por incumplimiento por parte del procesador de tarjetas. En casos graves, el incumplimiento puede teóricamente llevar a la cancelación de la cuenta del comerciante.

¿Es PCI DSS 4.0 una ley en sentido estricto?

Aunque el PCI SSC no tiene autoridad legal para hacer cumplir la normativa, cualquier empresa que acepte o procese tarjetas de crédito o débito debe adherirse a estos estándares, independientemente de su tipo de negocio o ubicación, porque las principales compañías de tarjetas de crédito exigen el cumplimiento como condición para procesar sus transacciones con tarjeta.

El organismo PCI fue fundado por American Express, Discover Financial Services, JCB International, MasterCard y Visa Inc. el 7 de septiembre de 2006, con el objetivo de gestionar la evolución continua del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago.

Esto significa que si tú (o un procesador de tarjetas que uses como Stripe, PayPal, Adyen, Paddle, …) aceptas alguna de estas tarjetas, debes adherirte a este nuevo estándar de PCI DSS 4.0. De lo contrario, corres el riesgo de las consecuencias mencionadas anteriormente o incluso de que te corten el acceso a la aceptación de pagos.

Cómo garantizar el cumplimiento

Estos son los pasos que debes seguir:

  1. Traza tus flujos de CHD. Identifica el movimiento de los datos del titular de la tarjeta (CHD) a través de tus aplicaciones, sistemas y personal.
  2. Completa tu SAQ. El Cuestionario de Autoevaluación (SAQ) valida si una empresa cumple los 12 requisitos de conformidad con PCI (consulta los 12 requisitos anteriores).
  3. Completa tu AOC. La Atestación de Conformidad (AOC) es un documento que proporciona una guía para lograr el cumplimiento de PCI, asegurando que se completen todos los pasos necesarios.
  4. Realiza un análisis de vulnerabilidades. En función de los resultados del Cuestionario de Autoevaluación (SAQ), tienes la opción de realizar el análisis tú mismo o contratar a un Proveedor de Análisis Aprobado (ASV).
  5. Completa y envía los documentos. Envía el Cuestionario de Autoevaluación (SAQ), la Atestación de Conformidad (AOC) y los informes del Proveedor de Análisis Aprobado (ASV) a las marcas de tarjetas de crédito que admites o planeas admitir.
  6. Monitoriza el cumplimiento de forma regular. Y esto puedes hacerlo usando cside. Nuestro nivel gratuito te hace cumplir la normativa y establece las barreras de seguridad. Nuestros niveles de pago te ofrecen más flexibilidad y aún más seguridad.

Determina tu nivel PCI. Los requisitos de cumplimiento de PCI se determinan por el número de transacciones procesadas anualmente. El cumplimiento de PCI DSS se divide en cuatro niveles, determinados por el número de transacciones con tarjeta que una empresa procesa anualmente. Estos niveles dictan los pasos que una empresa debe seguir para lograr y mantener la conformidad.

Nivel Criterios Requisito de validación
Nivel 1 Más de 6 millones de transacciones anuales Auditoría completa in situ por un QSA + SAQ D
Nivel 2 De 1 a 6 millones de transacciones anuales SAQ A, SAQ A-EP o SAQ D + Atestación de Conformidad (AOC)
Nivel 3 De 20.000 a 1 millón de transacciones en línea anuales SAQ A, SAQ A-EP o SAQ D + Atestación de Conformidad (AOC)
Nivel 4 Menos de 20.000 transacciones en línea O hasta 1 millón de transacciones totales SAQ A, SAQ A-EP o SAQ D + Atestación de Conformidad (AOC)

Preguntas y respuestas rápidas para aclarar dudas

  1. ¿Cómo puedo garantizar que mis scripts de terceros cumplen con PCI DSS 4.0? La actualización de PCI DSS 4.0 obliga a las organizaciones a mantener un inventario de todos los componentes del sistema relevantes para PCI DSS, incluido el software personalizado y los scripts de terceros. También promueve la transición de auditorías anuales a una monitorización de seguridad continua con revisiones y actualizaciones frecuentes de los componentes del sistema y el software. De nuevo, podemos ayudarte en este sentido. Nuestro nivel gratuito hace que tu sitio cumpla la normativa y sea seguro; nuestros niveles de pago aumentan la flexibilidad y la seguridad.
  2. ¿Cuándo entra en vigor PCI DSS v4.0? PCI DSS v4.0, vigente desde el 31 de marzo de 2024, introduce estos 64 nuevos requisitos. Aunque algunos son de aplicación inmediata, la mayoría no entrarán en vigor hasta el 31 de marzo de 2025, lo que da a las organizaciones un período de transición de un año para implementar los requisitos más exigentes. Los requisitos relativos a scripts de terceros entran en vigor en marzo de 2025.
  3. ¿Cuál es el impacto de PCI DSS 4.0 en las pequeñas empresas o startups? PCI DSS 4.0 introduce cambios que afectan a todas las entidades que gestionan datos del titular de la tarjeta, con posibles dificultades para las pequeñas empresas y startups debido a sus limitaciones de recursos. Consulta los niveles PCI indicados más arriba.
  4. ¿Existen penalizaciones por incumplimiento de PCI DSS 4.0? El incumplimiento de PCI DSS 4.0 puede acarrear penalizaciones como multas, aumento de las comisiones por transacción e incluso la revocación de la capacidad de procesar tarjetas. El cumplimiento es obligatorio para todas las entidades que gestionan datos del titular de la tarjeta, y el incumplimiento puede ocasionar daños económicos y reputacionales significativos. Por ello, comprender y mantener el cumplimiento de estos requisitos es fundamental para todas las organizaciones que procesan transacciones con tarjetas de pago.
  5. ¿Cuáles son las mejores prácticas para la monitorización continua de la seguridad bajo PCI DSS 4.0? En el marco de PCI DSS 4.0, la monitorización continua de la seguridad puede mejorarse implementando la segmentación de red, priorizando la automatización frente a los métodos de muestreo tradicionales y adoptando una mentalidad de confianza cero. Esto incluye la verificación diaria de todos los dispositivos de red y el uso de herramientas automatizadas para la detección y priorización continua de riesgos. cside fue creado para garantizar que se cumplan esos requisitos específicos de PCI DSS 4.0 relacionados con scripts de terceros.
Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Reservar una demo
Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo