Niveles de cumplimiento PCI DSS: qué significan y cómo calificar

Niveles de cumplimiento PCI DSS de un vistazo

Resumen de los niveles de comerciante 1-4

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) clasifica a las organizaciones en cuatro niveles de comerciantes según el volumen anual de transacciones con tarjeta y la exposición general al riesgo para determinar los requisitos adecuados de validación. Comprender su nivel de cumplimiento es fundamental para cumplir con las obligaciones y mantener las medidas de seguridad adecuadas para conservar la capacidad de procesar pagos con tarjeta.

Los comerciantes de nivel 1 procesan el mayor volumen de transacciones, típicamente más de 6 millones de transacciones por año, y enfrentan los requisitos de validación más estrictos. Los comerciantes de nivel 2 manejan altos volúmenes de transacciones pero inferiores a los del nivel 1, típicamente entre 1 y 6 millones de transacciones con tarjeta por año, y son validados mediante autoevaluación con supervisión adicional. Los comerciantes de nivel 3 son generalmente negocios de comercio electrónico de mercado medio que usualmente procesan entre 20,000 y 1 millón de transacciones con tarjeta y son validados mediante autoevaluación. Los comerciantes de nivel 4 son pequeñas empresas con los volúmenes de transacción más bajos, menos de 20,000 transacciones de comercio electrónico o hasta 1 millón de transacciones totales anuales, y son validados con autoevaluación con las obligaciones de cumplimiento más simples.

Es importante señalar que las organizaciones que procesan o almacenan datos de tarjetas en nombre de otras organizaciones (proveedores de servicios) siguen un sistema separado de dos niveles para los requisitos de validación que son distintos de la validación de comerciantes y dependen del volumen anual de transacciones con tarjeta. Los proveedores de servicios de Nivel 1 procesan más de 300,000 transacciones por año o almacenan datos de titulares de tarjetas para terceros. Los proveedores de servicios de Nivel 2 procesan menos de 300,000 transacciones anualmente.

Por qué importa tu nivel

Su nivel de cumplimiento determina directamente cómo su organización debe validar el cumplimiento y el esfuerzo involucrado en mantenerlo. El nivel de comerciante define si una organización debe completar un Reporte de Cumplimiento (ROC) a través de un Evaluador de Seguridad Calificado o un Cuestionario de Autoevaluación (SAQ), así como la profundidad y el tipo de evidencia de cumplimiento que debe mantener.

Los niveles más altos de comerciantes requieren más evidencia documentada y pruebas regulares de los controles de seguridad. Por ejemplo, los comerciantes de Nivel 1 requieren una Attestation of Compliance (AOC) formal firmada por un Qualified Security Assessor (QSA). Aunque el cumplimiento es una obligación continua, el nivel del comerciante también influye en la frecuencia con la que se necesitan evaluaciones, como escaneos de red trimestrales realizados por un Approved Scanning Vendor. Las marcas de tarjetas y los bancos adquirentes pueden imponer requisitos adicionales según el nivel de cumplimiento. Es fundamental identificar y mantener correctamente su nivel de cumplimiento para cumplir con las expectativas regulatorias, evitar sanciones y demostrar de manera eficiente la debida diligencia requerida para proteger los datos del titular de la tarjeta.

Cómo las marcas de tarjetas determinan su nivel de cumplimiento PCI DSS

Umbrales de volumen de transacciones

Las marcas de tarjetas utilizan principalmente el volumen anual de transacciones con tarjeta para establecer el nivel de cumplimiento de una organización. Estos umbrales ayudan a determinar qué tipo de validación y estructura de informes debe seguir una organización para mantener el cumplimiento de PCI DSS:

• Nivel 1: Comerciantes que procesan más de 6 millones de transacciones anuales en todos los canales (tienda física y en línea)
• Nivel 2: Comerciantes que procesan entre 1 y 6 millones de transacciones anualmente
• Nivel 3: Comerciantes que procesan entre 20,000 y 1 millón de transacciones de comercio electrónico anualmente
• Nivel 4: Comerciantes que procesan menos de 20,000 transacciones de comercio electrónico por año o hasta 1 millón de transacciones totales en todos los canales

Los comerciantes de nivel 1 suelen necesitar evaluaciones anuales in situ por un Qualified Security Assessor (QSA), mientras que los niveles inferiores requieren autoevaluaciones mediante cuestionarios (SAQ) y requisitos adicionales como escaneos trimestrales de red.

Escalada de brechas e incidentes

El volumen anual de transacciones es el factor principal para establecer el nivel de cumplimiento, pero no es el único. Las marcas de tarjetas se reservan el derecho de escalar manualmente a cualquier comerciante al Nivel 1 si detectan un alto riesgo para el ecosistema de pagos. Si un comerciante ha sufrido una brecha de datos o un incidente de seguridad que comprometió los datos del titular de la tarjeta, las marcas de tarjetas pueden escalar al comerciante al Nivel 1 independientemente del volumen de transacciones. Además, si la marca de tarjeta identifica vulnerabilidades sistémicas como controles de seguridad inadecuados, falta de evidencia de cumplimiento o un perfil de alto riesgo basado en patrones de transacciones, tipo de industria o historial de fraude, pueden exigir los requisitos de validación de Nivel 1.

Papel del banco adquirente

Aunque las marcas de tarjetas establecen estándares globales de seguridad, los bancos adquirentes tienen la autoridad definitiva para asignar el nivel PCI DSS. El banco adquirente es responsable de asegurar el nivel adecuado de comerciante de una organización y revisa los datos reales de transacciones y cualquier criterio específico de la marca de tarjeta para confirmar el nivel de cumplimiento. El adquirente recopila y revisa documentos de validación de cumplimiento como la Attestation of Compliance, SAQ o Reports on Compliance, y puede imponer requisitos adicionales más allá de los estándares mínimos de la marca de tarjeta. Diferentes marcas de tarjetas como Visa, Mastercard, Discover y American Express tienen umbrales ligeramente diferentes para los niveles de cumplimiento PCI. Los comerciantes que procesan con múltiples marcas deben seguir todos los niveles de cumplimiento de las marcas de tarjetas, y el banco adquirente medía y hace cumplir estos requisitos.

Los cuatro niveles de comerciante: requisitos y evidencias

Nivel 1: máxima garantía

Quién califica: Comerciantes que procesan más de 6 millones de transacciones con tarjeta anualmente en todos los canales combinados (tarjeta presente, comercio electrónico, pedidos por correo o teléfono), incluyendo todos los tipos de transacciones como compras, reembolsos, créditos y autorizaciones. Además, cualquier comerciante que haya sufrido una violación de datos que implique compromiso de datos o que haya sido designado como Nivel 1 por las marcas de tarjetas basado en evaluaciones de riesgo, violaciones anteriores de cumplimiento o un modelo de negocio que presente un riesgo sustancial, independientemente del volumen de transacciones.

Requisitos de validación: El cumplimiento de PCI DSS Nivel 1 representa la mayor exposición al riesgo y, por lo tanto, requiere la validación más rigurosa:

Nivel 2: alto volumen sin QSA por defecto

Quién califica: Los comerciantes de nivel 2, como minoristas de comercio electrónico medianos a grandes, cadenas regionales de tiendas y hoteles y restaurantes con múltiples ubicaciones, representan un riesgo considerable pero pueden auto-validarse a menos que su banco adquirente indique lo contrario.

Requisitos de validación:

Nota: Los bancos adquirentes o las marcas de tarjetas pueden requerir una evaluación completa ROC y dirigida por QSA para comerciantes de Nivel 2 según el perfil de riesgo, historial de brechas de seguridad, infraestructura compleja o postura de cumplimiento deficiente.

Nivel 3: enfoque en comercio electrónico para el mercado medio

Quién califica: Comerciantes que procesan entre 20,000 y 1 millón de transacciones de comercio electrónico anualmente, especialmente aquellos con una presencia online significativa en escenarios de Card-Not-Present (CNP).

Requisitos de validación: Los comerciantes de nivel 3 suelen incluir negocios de comercio electrónico en crecimiento, empresas SaaS con integraciones de pago, mercados digitales y negocios basados en suscripciones. Deben proporcionar las siguientes validaciones:

Nivel 4: línea base para pequeños comerciantes

Quién califica: Los comerciantes que procesan menos de 20,000 transacciones de comercio electrónico o hasta 1 millón de transacciones totales para todos los canales anualmente califican para el cumplimiento de Nivel 4.

Requisitos de validación: Los comerciantes de nivel 4 suelen incluir pequeñas empresas, tiendas minoristas locales, hoteles y restaurantes de una sola ubicación, y pequeños minoristas en línea. Deben completar las siguientes validaciones:

Concepto erróneo común: Los comerciantes de nivel 4 están obligados a cumplir con todos los requisitos aplicables de PCI DSS, como mantener una red segura con firewalls y tecnologías de cifrado, proteger los datos del titular de la tarjeta, la gestión de vulnerabilidades, controles de acceso, monitoreo continuo y pruebas de red. El nivel solo afecta el método de validación, no las obligaciones de seguridad.

Niveles PCI DSS para proveedores de servicios

Modelo de proveedor de servicios de dos niveles

Los proveedores de servicios desempeñan un papel importante en el ecosistema de procesamiento de pagos porque almacenan, procesan o transmiten datos de titulares de tarjetas en nombre de los comerciantes y pueden afectar la seguridad de dichos datos. Mientras que los comerciantes se clasifican en cuatro niveles de cumplimiento, los proveedores de servicios siguen un modelo de clasificación de dos niveles con requisitos estrictos de validación debido a su rol de responsabilidad compartida entre múltiples clientes.

Proveedores de servicios de nivel 1: Cualquier organización que procese, almacene o transmita más de 300,000 transacciones con tarjeta anualmente en nombre de comerciantes, o cualquier organización designada específicamente por una marca de tarjeta de pago independientemente del volumen de transacciones. Deben someterse a una auditoría in situ realizada por un Qualified Security Assessor (QSA) para el ROC, enviar el AOC, realizar escaneos ASV trimestrales y ejecutar pruebas de penetración anuales obligatorias. Esta categoría de proveedor de servicios típicamente incluye pasarelas de pago, proveedores de servicios gestionados y proveedores de nube y hosting.

Proveedores de servicios de Nivel 2: Cualquier organización que procese, almacene o transmita menos de 300,000 transacciones totales anualmente y que no esté designada como proveedor de servicios de Nivel 1 por las marcas de tarjetas. Los proveedores de servicios de Nivel 2 deben cumplir con los requisitos de validación mediante el SAQ D para Proveedores de Servicios anual para abordar todos los requisitos de PCI DSS, presentar el AOC, proporcionar informes trimestrales de escaneo ASV y realizar pruebas de penetración anuales.

Quién valida a los proveedores de servicios

El cumplimiento del proveedor de servicios puede validarse mediante múltiples mecanismos, según las obligaciones contractuales y las consideraciones de riesgo:

• Autovalidación vs. QSA: Los proveedores de Nivel 1 deben ser validados por un QSA externo, mientras que los proveedores de Nivel 2 pueden autovalidarse usando SAQ D. Sin embargo, sus clientes, comerciantes o las marcas de tarjetas aún pueden exigir un ROC firmado por un QSA dependiendo de la sensibilidad del servicio proporcionado. En algunos casos, los QSAs de comerciantes revisarán los controles del proveedor de servicios durante las propias evaluaciones PCI del comerciante debido a la naturaleza de la responsabilidad compartida
• Registros de cumplimiento de marcas de tarjetas: Marcas de tarjetas reconocidas como Visa y Mastercard mantienen listas oficiales de proveedores de servicios conformes. Se anima a los comerciantes y a menudo se les exige usar solo esos proveedores de servicios
• Responsabilidad del comerciante: Los comerciantes deben mantener una lista de sus proveedores de servicios, tener acuerdos escritos con ellos y son responsables de verificar el estado de cumplimiento de sus proveedores de servicios al menos una vez al año. El no usar un proveedor de servicios conforme no transfiere la obligación PCI; los comerciantes siguen siendo responsables de proteger los datos del titular de la tarjeta

Elegir el SAQ adecuado para su entorno

Matriz de selección SAQ

Los Cuestionarios de Autoevaluación son herramientas de validación definidas por el PCI Security Standards Council (PCI SSC) para ayudar a comerciantes y proveedores de servicios a autoevaluar el cumplimiento de PCI DSS. El SAQ correcto depende de cómo los comerciantes aceptan, procesan, transmiten y almacenan los datos del titular de la tarjeta.

Consejos para evitar la expansión del alcance

Elegir el tipo incorrecto de SAQ puede aumentar la carga de cumplimiento, crear brechas de seguridad y causar rechazos en auditorías.

Mapea tus flujos de pago: Documenta cada punto donde los datos del titular de la tarjeta ingresan a tu organización, cómo se procesan y almacenan, y dónde salen de tu entorno. Identifica todos los sistemas y servicios involucrados en la captura y procesamiento de datos, incluidos sistemas de respaldo, registros o archivos.

Comprenda los puntos de contacto con los datos del titular de la tarjeta: Si alguna parte de su infraestructura toca datos del titular de la tarjeta, puede cambiar el tipo de SAQ de un SAQ más ligero a SAQ D. Si algún sistema almacena, procesa o transmite datos del titular de la tarjeta, puede influir en la seguridad de dichos datos. También considere los sistemas que pueden acceder al entorno de datos del titular de la tarjeta y los sistemas que están en el mismo segmento de red que el CDE.

Utilice segmentación: Una segmentación adecuada de la red y del sistema puede reducir el alcance de PCI DSS, disminuyendo el esfuerzo requerido para el cumplimiento. Utilice firewalls y VLANs para aislar los terminales de pago o sistemas POS del resto de la red corporativa. Documente siempre los cambios y valide regularmente la efectividad para apoyar el cumplimiento continuo.

Consulte a un QSA: Si un comerciante ofrece servicios tanto en tienda física como en comercio electrónico, puede que necesite completar varios SAQ o un único SAQ D. Siempre es buena idea involucrar a un QSA que pueda ayudar a evitar esfuerzos de cumplimiento excesivos o insuficientes.

Del alcance a la evidencia: lo que los auditores esperan por nivel

Delimitación y documentación

Los auditores que evalúan el cumplimiento de PCI DSS se centran primero en la validación del alcance y la documentación fundamental porque toda la evidencia relevante depende de una definición exacta del Cardholder Data Environment (CDE).

Delimitación precisa del CDE: Los auditores requieren una identificación clara de todos los sistemas, redes y ubicaciones que almacenan, procesan o transmiten datos de titulares de tarjetas. Se deben documentar los límites claros del CDE. Qué sistemas están dentro del alcance, como terminales punto de venta, pasarelas de pago y bases de datos, y qué sistemas están fuera del alcance deben contar con evidencia de exclusión, como segmentación de red y reglas de firewall. La delimitación del CDE debe revisarse al menos anualmente y después de cada cambio significativo en el CDE o la infraestructura asociada.

Diagramas de flujo de datos: Los DFD deben mostrar el movimiento de datos del titular de la tarjeta de extremo a extremo desde los puntos de entrada hasta el movimiento interno, almacenamiento y puntos de salida. Los DFD deben tener flujos de datos de alto nivel y detallados con breves descripciones, marcando rutas cifradas y no cifradas y mapeando a dispositivos reales con direcciones IP y nombres de host.

Documentación de segmentación de red: Si ciertos servidores y dispositivos se declaran fuera de alcance, debe incluirse evidencia técnica en la documentación que demuestre que el CDE no se ve afectado. Por ejemplo, configuraciones de firewall que restringen el tráfico de red entre redes CDE y no CDE, configuraciones de VLAN que separan lógicamente las redes y resultados anuales de pruebas de penetración.

Inventario del sistema: Se debe documentar un inventario completo y actualizado de todos los activos de TI, como servidores, estaciones de trabajo, dispositivos de red y terminales, con los sistemas operativos instalados, aplicaciones, versiones y niveles de parche, para todo lo que pueda afectar al CDE. Se deben implementar mecanismos de gestión de cambios para mostrar registros como evidencia de actualizaciones del sistema, parches y desmantelamiento de hardware.

Sincronización de tiempo: Todos los sistemas deben tener una hora precisa y sincronizada utilizando Network Time Protocol (NTP), ya que la sincronización de tiempo es crítica para la correlación de registros y el análisis forense. La documentación debe contener la configuración del servidor NTP, la fuente de tiempo y la frecuencia de sincronización con registros de soporte que demuestren la sincronización exitosa.

Artefactos clave por nivel

Los diferentes niveles de informes requieren distintos tipos y profundidades de evidencia, pero los artefactos principales se mantienen consistentes; solo los métodos de validación varían según el nivel del comerciante. A continuación, se presentan los artefactos comunes que los auditores esperan en todos los niveles:

• Políticas de seguridad de la información: Políticas de seguridad documentadas y completas que cubren todos los requisitos aplicables de PCI DSS, incluyendo la política de uso aceptable, la política de retención de datos, los mecanismos de gestión de claves de cifrado, la política de acceso remoto, la política de gestión de cambios, la seguridad física y los procedimientos de respuesta a incidentes
• Documentación de control de acceso: Políticas de acceso de usuario y reportes que muestran quién tiene acceso a qué sistemas y datos, implementación de control de acceso basado en roles (RBAC) y si los roles y permisos siguen el principio de menor privilegio. Autenticación multifactor (MFA) aplicada en todas las rutas de acceso en el CDE, Privileged Access Management con mecanismos de grabación de sesiones y un registro completo de auditoría del acceso administrativo al CDE
• Registros de monitoreo de integridad de archivos (FIM): Evidencia de que los archivos y configuraciones críticas del sistema son monitoreados para detectar cambios no autorizados, incluyendo alertas y reportes de FIM, definiciones de configuración base y registros de investigación para cambios legítimos
• Revisiones de acceso de usuarios: Revisiones periódicas de cuentas de usuario y cuentas administrativas, incluidos informes firmados por los jefes de departamento, evidencia de remediación por privilegios excesivos y eliminación de acceso de usuarios terminados
• Resultados del escaneo de vulnerabilidades: Informes trimestrales realizados por herramientas internas de escaneo y Proveedores de Escaneo Aprobados externos (ASV) que muestran que no se encontraron vulnerabilidades de alto riesgo, o que las vulnerabilidades fueron corregidas y los reescaneos muestran que las vulnerabilidades se resolvieron
• Informes de pruebas de penetración: Informes formales de los resultados de pruebas de penetración internas o externas, incluyendo pruebas en la capa de red, pruebas en la capa de aplicación y validación de segmentación. Los hallazgos deben identificar claramente las vulnerabilidades con calificaciones de severidad y validaciones de remediación tras la nueva prueba.
• Procedimientos de respuesta a incidentes: Un plan documentado para manejar incidentes de seguridad, incluyendo cómo clasificar los incidentes, rutas de escalamiento, roles y responsabilidades del equipo de respuesta, protocolos de comunicación, procedimientos para la recolección de evidencia forense y medidas de continuidad del negocio
• Registros de gestión de cambios: Registro completo de auditoría de los cambios realizados en sistemas y aplicaciones, incluyendo formularios de solicitud de cambio, formularios de evaluación de riesgos, registros de aprobación, validación posterior a la implementación y justificaciones de la ejecución de procedimientos de emergencia

Las capacidades de auditoría y cumplimiento de Netwrix ayudan a las organizaciones a generar evidencia para todos los requisitos de PCI DSS, desde la definición precisa del alcance y descubrimiento de datos hasta el control de acceso y la autenticación multifactor, Privileged Access Management, y un registro extenso y monitoreo continuo. Las capacidades automatizadas de descubrimiento de datos encuentran y clasifican los Números de Cuenta Primarios (PAN) y otros datos sensibles del titular de la tarjeta. La minimización de datos ayuda a identificar datos del titular de la tarjeta obsoletos o retenidos en exceso para apoyar procesos seguros de eliminación. Las campañas regulares de revisión de acceso de usuarios automatizan la certificación de acceso para limitar el acceso a CDE aplicando el principio de menor privilegio. Las soluciones de Netwrix capturan completos registros de auditoría de la actividad del usuario, cambios en el sistema y eventos de acceso con capacidades para exportar estos registros e informes de cumplimiento para cumplir con los requisitos de PCI DSS.

Cómo cambian los niveles: desencadenantes para subir o bajar

Disparadores para cambios de nivel

Los niveles de cumplimiento de PCI DSS no son estáticos; pueden subir o bajar según las actividades comerciales, eventos de riesgo o decisiones tomadas por las marcas de tarjetas o el banco adquirente. Los niveles de cumplimiento de los comerciantes y proveedores de servicios se determinan principalmente por el volumen de transacciones por año. Si una campaña de marketing durante la temporada navideña aumenta dramáticamente el volumen de transacciones y supera el umbral de 6 millones de transacciones, el banco adquirente notificará al comerciante que ahora debe cumplir con los requisitos de reporte de cumplimiento de PCI DSS Nivel 1.

De manera similar, si el volumen de transacciones de un comerciante disminuye significativamente, podría ser elegible para reducir su nivel de cumplimiento, lo que reduce la complejidad y el costo de la auditoría. Las fusiones y adquisiciones pueden combinar los volúmenes de transacciones de varios comerciantes, y los nuevos canales de pago o marcas heredados a través de adquisiciones pueden afectar el recuento total de transacciones.

Cualquier incidente de seguridad o violación de datos puede desencadenar acciones estrictas de cumplimiento por parte de las marcas de tarjetas o el banco adquirente, aumentando el nivel y posiblemente requiriendo una investigación forense con esfuerzos de remediación antes de que el nivel de cumplimiento pueda restablecerse a la normalidad. Si un comerciante comienza a usar un nuevo proveedor de servicios externo o cambia el procesamiento de pagos subcontratado, puede afectar el nivel de cumplimiento. Por ejemplo, pasar de una página de pago subcontratada a un modelo parcialmente alojado puede aumentar las obligaciones de cumplimiento, mientras que pasar de un servicio de gestión de pagos interno a procesamiento de pagos subcontratado puede simplificar las obligaciones de cumplimiento. Las marcas de tarjetas se reservan el derecho de reclasificar a cualquier comerciante o proveedor de servicios basado en altas tasas de fraude, incumplimiento repetido o un modelo de negocio de alto riesgo.

Mejores prácticas de gobernanza

El cumplimiento no es un evento único; es un proceso continuo. Para evitar fallos repentinos, las organizaciones deben integrar los controles y políticas requeridos por el nivel de cumplimiento PCI en su modelo de gobernanza empresarial.

Evita sorpresas: Al rastrear el volumen de transacciones cada trimestre o mes, los comerciantes pueden predecir cuándo podrían alcanzar el siguiente nivel antes de que suceda. Mantén evidencia de las transacciones para reclasificación, como diagramas de flujo de datos de nuevas incorporaciones de canales, registros de incidentes y registros de remediación en caso de un evento de violación de seguridad.

Planificación de la validación: Pasar del Nivel 2 al Nivel 1 requiere contratar a un Qualified Security Assessor (QSA) y conlleva costos técnicos para asegurar el CDE. Estos cambios requieren una planificación significativa y eficiente para garantizar un presupuesto adecuado y que los recursos, como el personal y el equipo, se distribuyan correctamente.

Comunicación proactiva: Mantenga una relación transparente con su banco adquirente, lo que ayuda a negociar los plazos de implementación de controles de seguridad si ocurre un cambio inesperado en el nivel de cumplimiento. Siempre notifique al adquirente antes de lanzar nuevas plataformas de comercio electrónico, cambios en la tokenización o reemplazos de pasarelas de pago.

Errores comunes por nivel y cómo evitarlos

Errores comunes de nivel 1

Gestión débil de Privileged Access Management: Los entornos de titular de tarjeta de Nivel 1 y la infraestructura asociada requieren un control de acceso estricto para reducir la superficie de ataque. Una completa access management es un factor clave en la seguridad de los datos del titular de la tarjeta. Los problemas comunes incluyen el uso de cuentas de administrador compartidas, la falta de MFA implementada para cuentas administrativas o de servicio y acceso remoto, privilegios permanentes excesivos, falta de campañas de revisión de acceso de usuarios, control de acceso basado en roles (RBAC) que no sigue el principio de menor privilegio y falta de monitoreo de las actividades administrativas.

Registro incompleto: Los registros cumplen un papel fundamental en la investigación forense de eventos de violación de datos y en la validación de la eficiencia de los controles de seguridad. Los problemas comunes incluyen la falta de rastros de autenticación, como eventos importantes de fallo de autenticación, escalada de privilegios o acceso a datos. Los registros se recopilan pero no se agregan en una plataforma centralizada para análisis y almacenamiento automatizados. Los registros están presentes pero no pueden distinguir los rastros de eventos basados en IDs únicos vinculados a cuentas particulares.

Efectividad de la segmentación: Los problemas comunes incluyen redes etiquetadas como fuera de alcance sin evidencia de que no pueden acceder al CDE, ausencia de informes anuales de pruebas de penetración y reglas de firewall incorrectas que pueden permitir el acceso a la red.

Evidencia de gestión de cambios: Los problemas comunes incluyen registros de cambios de emergencia implementados sin la aprobación adecuada, impacto PCI no evaluado después de la implementación, actualizaciones o reemplazo de hardware y software sin respaldo adecuado, y ausencia de informe de evaluación de la postura de seguridad tras eventos legítimos de gestión de cambios.

Errores comunes de nivel 2-4

Selección incorrecta de SAQ: Los comerciantes a menudo eligen el Cuestionario de Autoevaluación (SAQ) más fácil o corto sin darse cuenta de que su entorno realmente requiere evaluaciones técnicas más detalladas y relevantes. Elegir un tipo incorrecto de SAQ conduce a una evaluación de cumplimiento incompleta, especialmente cuando los flujos de pago se malinterpretan y se representan incorrectamente en la documentación. Siempre mapee los flujos completos de datos de tarjetas de pago antes de seleccionar el SAQ, documente dónde se transmiten, procesan y almacenan los PAN, y verifique los métodos de integración de procesadores externos. En caso de duda, consulte siempre la guía de selección de SAQ o contrate a un QSA para ayudar con el proceso de selección del SAQ.

Escaneos trimestrales de ASV perdidos: Los escaneos de vulnerabilidades deben ser realizados por un Approved Scanning Vendor (ASV) cada 90 días. Los comerciantes asumen que es una tarea anual o no remedian las vulnerabilidades identificadas en el escaneo dentro del plazo requerido para mantener el estado de cumplimiento. Siempre programe escaneos para el primer mes de cada trimestre para permitir tiempo suficiente para remediar cualquier vulnerabilidad identificada y vuelva a escanear después de los esfuerzos de remediación para lograr un informe aprobado antes de que termine el mismo trimestre. Configure recordatorios en el calendario de 2 a 3 semanas antes de la fecha límite, haga seguimiento de los plazos de remediación (30 días para vulnerabilidades de alto riesgo), mantenga evidencia documentada de los resultados del escaneo y la remediación, y use solo escáneres aprobados por PCI SSC para los escaneos trimestrales.

PAN en registros y exportaciones: La información del Primary Account Number (PAN) puede filtrarse en lugares donde no debería almacenarse, como registros de aplicaciones, transcripciones de chats de servicio al cliente, grabaciones de llamadas de audio, exportaciones de CRM o exportaciones CSV utilizadas por el departamento de contabilidad. Use herramientas automatizadas de data discovery tools para escanear la infraestructura en busca de PAN no cifrado al menos una vez al año. Asegúrese de que las soluciones de software oculten los números de tarjeta, mostrando solo los primeros o últimos 4 dígitos. Revise las funciones de exportación y las herramientas de informes para truncar el PAN, capacite a los desarrolladores en prácticas de codificación segura para evitar el almacenamiento de información sensible en los registros de depuración y revise regularmente los registros para identificar cualquier información sensible no cifrada.

Donde Netwrix acelera PCI DSS en todos los niveles

Requisito 3: proteger los datos almacenados del titular de la tarjeta

Netwrix Data Security Posture Management soluciones ayudan a las organizaciones a realizar el descubrimiento y la clasificación automatizados de datos en entornos híbridos para encontrar Primary Account Numbers (PAN) y otros datos sensibles de titulares de tarjetas. La clasificación de datos se realiza mediante el procesamiento de términos compuestos y análisis estadístico en lugar de una simple coincidencia de palabras clave. Las capacidades automatizadas de redacción ocultan los dígitos de la tarjeta cuando no hay necesidad comercial de mostrarlos. La minimización de datos y el seguimiento de la retención demuestran que solo se almacenan los datos necesarios de los titulares de tarjetas y que los datos innecesarios no se retienen. Los flujos de trabajo automatizados permiten a las organizaciones poner en cuarentena datos sensibles en ubicaciones inseguras y ayudan a eliminar permisos de grupos de acceso global.

Requisitos 7 y 8: control de acceso y autenticación

Netwrix Identity Governance soluciones proporcionan visibilidad sobre los permisos de usuarios, cuentas de servicio y cuentas de administrador en plataformas locales y en la nube. Los informes de atestación de privilegios certifican los privilegios de usuario para aplicar el principio de menor privilegio y garantizar que el acceso al entorno del titular de la tarjeta sea estrictamente basado en roles y esté documentado. Las soluciones de Identity Governance automatizan el ciclo de vida de las identidades de usuario para asegurar que cada persona tenga una ID única, todas las actividades se rastreen con esa ID única y el acceso pueda revocarse instantáneamente en caso de actividad sospechosa o terminación.Las capacidades de monitoreo de cuentas privilegiadas permiten a las organizaciones supervisar y grabar sesiones privilegiadas en el CDE para detectar cualquier cambio no autorizado o intentos de exfiltración de datos.

Requisito 10: registro y monitoreo

Netwrix Auditor proporciona capacidades unificadas de auditoría y monitoreo de actividad en infraestructuras híbridas, incluyendo sistemas de archivos, Active Directory y servicios en la nube. Las soluciones de seguimiento de cambios integran funciones de monitoreo de integridad de archivos (FIM) para detectar cambios no autorizados en archivos críticos del sistema y configuraciones de seguridad, y generan alertas cuando se modifican los datos de registro. Las soluciones de Netwrix ofrecen registros y reportes exportables y listos para auditoría que sirven como evidencia en las presentaciones de Attestation of Compliance y Report on Compliance, reduciendo significativamente el tiempo de preparación para auditorías.

Requisitos 6 y 11: sistemas seguros y pruebas

Netwrix Change Tracker realiza un seguimiento continuo de la configuración del sistema, detecta configuraciones incorrectas que se desvían de las bases de referencia de seguridad y garantiza que los servidores, endpoints y dispositivos de red estén siempre seguros. El seguimiento de cambios con valores de configuración antes y después muestra qué cambió, cuándo y por quién, para proporcionar un informe completo basado en evidencias sobre el CDE. Estos informes basados en evidencias respaldan el mantenimiento seguro del sistema, la verificación de la configuración consistente y las pruebas continuas para cumplir con los requisitos de escaneo y pruebas PCI.

Análisis profundo de PCI DSS Nivel 1 (para empresas y proveedores de servicios)

Rigor adicional para el Nivel 1

Los comerciantes y proveedores de servicios de Nivel 1 enfrentan un mayor nivel de escrutinio porque representan el mayor riesgo para el ecosistema de pagos. En el Nivel 1, se espera que las organizaciones vayan más allá de los 12 requisitos principales de cumplimiento PCI; deben implementar controles mejorados, disciplina documentada y monitoreo continuo para cumplir adecuadamente con los requisitos de validación.

Consideraciones sobre la estrategia de muestreo: Cuando una empresa tiene cientos o miles de componentes de infraestructura, un QSA no puede evaluar cada uno de ellos. PCI DSS no exige una fórmula de muestreo específica, pero las auditorías de Nivel 1 requieren inherentemente un muestreo representativo en los sistemas más críticos, como el CDE, controles de segmentación, control de acceso y registro. Estandarice el muestreo agrupando sistemas con configuración idéntica. El muestreo debe incluir todos los procesos de negocio y ubicaciones geográficas que manejan datos de titulares de tarjetas. Mantenga documentación del método de muestreo que incluya definición de población, criterios de selección, justificación estadística y trazabilidad de la muestra a requisitos PCI específicos con evidencia para demostrar la integridad al QSA. Si el muestreo revela fallos, amplíe las pruebas o evalúe toda la clase de sistemas. Las entidades de Nivel 1 deben evitar asumir que un solo sistema representativo cubre toda la clase.

Alcance ampliado de las pruebas de penetración: Las entidades de Nivel 1 deben incluir redes internas, redes perimetrales, VPN, infraestructura en la nube, APIs y endpoints anualmente y en caso de cualquier cambio significativo en la red, como la adición de nuevo hardware, actualizaciones de software o migración a una nueva plataforma en la nube. Como mínimo, se requiere nuevamente una prueba de penetración dirigida. Las organizaciones deben demostrar la segmentación de la red con evidencias como reglas de firewall y aislamiento VLAN. Los procesos de autenticación y autorización deben evaluarse desde las perspectivas tanto del usuario interno como del atacante externo. Después de la remediación, se necesita una nueva prueba dirigida para confirmar que las vulnerabilidades se han resuelto.

Mejores prácticas para el repositorio de evidencias: Una auditoría de Nivel 1 puede requerir miles de piezas de evidencia. Las organizaciones deben dejar de usar hojas de cálculo y pasar a una herramienta adecuada de Governance, Risk and Compliance (GRC) para automatizar todo el proceso con un repositorio de datos centralizado. Utilice herramientas automatizadas para generar artefactos base para cada requisito, como políticas, archivos de configuración, registros y procedimientos. Organice la evidencia según los 12 requisitos y subrequisitos de PCI DSS. Mantenga versiones fechadas de todas las configuraciones y políticas, detalles de permisos de acceso basados en roles, informes trimestrales de escaneo, análisis de registros, alertas de monitoreo de integridad de archivos, reglas de firewall e implementaciones de cifrado.

Cumplimiento continuo: A diferencia del cumplimiento puntual anterior, PCI DSS enfatiza la seguridad continua. Para las organizaciones de Nivel 1, el monitoreo continuo debe integrarse en cada proceso empresarial. Además de los escaneos trimestrales externos de vulnerabilidades ASV y los escaneos internos de vulnerabilidades, los registros deben revisarse diariamente o al menos dos veces por semana con la implementación de herramientas SIEM para análisis agregados. Se deben implementar mecanismos de generación de alertas en tiempo real para el monitoreo de integridad de archivos. Debe existir un proceso formal de gestión de cambios con aprobación documentada para cada cambio en el CDE. Mensualmente, se deben activar campañas de revisión de acceso de usuarios, revisar las reglas de firewall y router, y validar el cumplimiento de los proveedores de servicios.

Mantenga la documentación organizada: Las organizaciones no deben esperar a la temporada de auditorías; deben crear y actualizar la documentación periódicamente para los 12 requisitos de PCI DSS durante todo el año con un control de versiones adecuado y registros resumidos de cambios. La primera tarea de un QSA suele ser el descubrimiento del alcance. Si encuentran un sistema o requisito que no estaba documentado, la auditoría probablemente se retrasará o fallará.

Trabajando con QSAs

Las validaciones de Nivel 1 requieren un Evaluador de Seguridad Calificado (QSA) externo. Sin embargo, el QSA no debe considerarse un auditor, sino un socio para reducir el riesgo. Un compromiso exitoso requiere preparación previa y colaboración eficiente para maximizar los resultados de este proceso.

Prepare evidencia con anticipación: Las organizaciones deben realizar evaluaciones internas utilizando la plantilla ROC para identificar brechas. Cree una lista de verificación que relacione cada requisito con la evidencia correspondiente. Prepare un inventario de activos completo y actualizado con diagramas de flujo de datos, y la documentación del alcance debe incluir una segmentación detallada de la red para justificar el alcance.

Establezca canales de comunicación claros: Designe un único punto de contacto para la coordinación de QSA. Identifique especialistas en la materia para cada dominio de requisitos para obtener detalles. Configure los canales de comunicación preferidos, como correo electrónico, videoconferencias y portales de documentación. Realice sesiones previas a la auditoría, defina rutas de escalamiento para disputas o retrasos en las solicitudes de evidencia y establezca tiempos de respuesta para las solicitudes de evidencia, como 48 o 72 horas.

Aborde los hallazgos de inmediato: Si un QSA encuentra una brecha durante la auditoría, intente remediarla inmediatamente mientras están en el sitio. Esto a menudo puede resultar en una aprobación exitosa en el ROC final en lugar de un estado de incumplimiento. El proceso de remediación debe ser formal, incluyendo la confirmación de que se han comprendido los hallazgos, el análisis de la causa raíz de por qué ocurrió el incumplimiento y las acciones documentadas que se tomaron para remediar el problema con evidencia como capturas de pantalla, detalles de configuración y nuevas políticas.

Próximos pasos: valide su nivel de cumplimiento PCI DSS

Plan de acción

Comprender su nivel de comerciante o servicio es fundamental para el cumplimiento de PCI DSS. Una vez que el nivel se evalúa correctamente, el camino hacia el cumplimiento se basa en la validación, la evidencia y la supervisión continua.

¿Listo para simplificar el cumplimiento de PCI DSS en cualquier nivel? Visite la Netwrix PCI DSS solution page para ver ejemplos de informes mapeados y descubrir cómo nuestras capacidades de seguridad de datos y auditoría aceleran su validación.