Inicio Normas Sectores ✦ Evaluación IA Solicitar cotización →
InicioNormas → PCI DSS

PCI DSS — Estándar de Seguridad de Datos del Sector de Tarjetas de Pago

El estándar de seguridad obligatorio para todas las organizaciones que almacenan, procesan o transmiten datos de tarjetas de pago. BALTUM apoya a comerciantes, procesadores de pago y proveedores de servicios en el cumplimiento de PCI DSS v4.0 — desde la autoevaluación SAQ hasta compromisos completos de Informe de Cumplimiento (ROC).

PCI DSS v4.0Seguridad de pagosSAQROCDatos de tarjetahabientes

¿Qué es PCI DSS?

El Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) es un conjunto de requisitos de seguridad establecidos por el Consejo de Estándares de Seguridad PCI (PCI SSC), fundado por American Express, Discover, JCB, Mastercard y Visa. PCI DSS v4.0, publicado en marzo de 2022, es ahora el estándar activo (v3.2.1 retirado en marzo de 2024).

El cumplimiento es obligatorio para cualquier organización que almacene, procese o transmita datos de titulares de tarjetas, independientemente del volumen de transacciones. El incumplimiento puede resultar en multas, aumento de comisiones de transacción y pérdida de los derechos de aceptación de tarjetas.

Niveles de cumplimiento PCI DSS

  • Nivel 1 — Comerciantes que procesan más de 6 millones de transacciones/año; requiere ROC anual por un QSA y escaneo trimestral de red.
  • Nivel 2 — 1–6 millones de transacciones/año; SAQ anual y escaneo trimestral.
  • Nivel 3 — 20 000–1 millón de transacciones de comercio electrónico; SAQ anual y escaneo trimestral.
  • Nivel 4 — Menos de 20 000 transacciones de comercio electrónico o hasta 1 millón de otras transacciones; SAQ anual recomendado.

Cambios clave de PCI DSS v4.0

  • Opción de enfoque personalizado para organizaciones con controles maduros
  • Nuevos requisitos para MFA resistente a phishing
  • Requisitos ampliados para seguridad de comercio electrónico y páginas de pago (Requisito 6.4)
  • Nuevos requisitos de análisis de riesgos dirigido
  • 64 nuevos requisitos con fecha futura (obligatorios desde marzo de 2025)

Compromiso PCI DSS de BALTUM

  • Definición de alcance y mapeo del entorno de datos de tarjetahabientes (CDE)
  • Análisis de brechas contra los requisitos de PCI DSS v4.0
  • Hoja de ruta de remediación y soporte en la implementación de controles
  • Soporte en la elaboración de SAQ (SAQ A, A-EP, B, C, D según corresponda)
  • Preparación de ROC y coordinación con QSA para comerciantes de Nivel 1
  • Coordinación de escaneos trimestrales de vulnerabilidades ASV

Integración con ISO 27001

PCI DSS e ISO 27001 comparten una superposición significativa de controles en control de acceso, gestión de vulnerabilidades, registro y monitoreo y respuesta a incidentes. El programa integrado de BALTUM mapea ambos conjuntos de requisitos a un marco de control unificado, minimizando la duplicación y reduciendo el costo total de cumplimiento.