PCI DSS
¿Qué es PCI DSS? Definición y concepto financiero
PCI DSS (Payment Card Industry Data Security Standard) es el estándar global de seguridad que establece los controles técnicos y operativos obligatorios para toda entidad que almacene, procese o transmita datos de tarjetas de pago. Fue creado en 2004 por Visa, Mastercard, American Express, Discover y JCB, y lo administra el PCI Security Standards Council (PCI SSC).
La versión vigente es PCI DSS v4.0, publicada en marzo de 2022. Los nuevos requisitos marcados como buenas prácticas pasaron a ser de obligado cumplimiento el 31 de marzo de 2025, lo que afecta directamente a comercios, procesadores, pasarelas de pago y proveedores de servicios en toda Europa.
Cómo funciona PCI DSS
El estándar se estructura en 6 objetivos de control que agrupan 12 requisitos de seguridad:
- Construir y mantener redes seguras: instalar controles de seguridad de red y aplicar configuraciones protegidas en todos los componentes.
- Proteger los datos del titular de la tarjeta: proteger los datos de cuenta almacenados mediante cifrado o tokenización y cifrar la transmisión a través de redes públicas abiertas.
- Gestión de vulnerabilidades: proteger sistemas contra software malintencionado y desarrollar aplicaciones seguras.
- Control de acceso: restringir el acceso a datos según necesidad comercial, autenticar usuarios y limitar el acceso físico.
- Monitorización y pruebas: registrar todo acceso a los datos del titular y verificar la seguridad de sistemas de forma periódica.
- Política de seguridad: respaldar la protección con políticas y programas organizacionales.
El nivel de validación exigido depende del volumen de transacciones anuales del comercio. Los cuatro niveles de cumplimiento para comerciantes son:
| Nivel | Transacciones anuales | Validación requerida |
|---|---|---|
| 1 | Más de 6 millones | Auditoría anual por QSA + escaneo ASV trimestral |
| 2 | 1 - 6 millones | Cuestionario de autoevaluación (SAQ) + escaneo ASV |
| 3 | 20.000 - 1 millón | SAQ + escaneo ASV |
| 4 | Menos de 20.000 | SAQ (recomendado) |
Impacto normativo y seguridad aplicable en PCI
PCI DSS no opera de forma aislada en el contexto europeo. Su cumplimiento se complementa con la Directiva PSD2 (Directiva (UE) 2015/2366) y su transposición española a través del Real Decreto-ley 19/2018 de servicios de pago, que exige la autenticación reforzada del cliente (SCA) en las transacciones electrónicas.
Esto significa que un comercio en España debe cumplir simultáneamente con PCI DSS para la protección de datos de tarjeta y con PSD2/SCA para la autenticación del pagador. Ambos marcos se refuerzan: PCI DSS protege los datos en reposo y en tránsito, mientras la SCA garantiza que quien paga es el legítimo titular.
Para los comercios ecommerce, el impacto es doble. Un entorno no conforme con PCI DSS puede derivar en multas de entre 5.000 y 100.000 € mensuales impuestas por los esquemas de tarjetas a través del adquirente. Pero el coste real va más allá de la sanción: la pérdida de la capacidad de aceptar pagos con tarjeta paraliza por completo la operativa de cualquier tienda en línea.
Ventajas y desventajas operativas de PCI DSS
Ventajas:
- Reduce el riesgo de brechas de datos y los costes asociados a incidentes de seguridad.
- Genera confianza en el comprador, lo que impacta positivamente en la tasa de conversión del checkout.
- Facilita la integración con adquirentes y procesadores que exigen certificación PCI como requisito contractual.
Desventajas:
- El coste de certificación para un comercio de Nivel 1 puede superar los 50.000 € anuales entre auditoría QSA, escaneos ASV y remediación técnica.
- Exige revisión continua: PCI DSS no es un evento puntual, sino un proceso permanente con validaciones trimestrales y anuales.
- La complejidad del alcance (scope) puede generar sobrecostes si la red no está correctamente segmentada.