Skip to content

Explica los fundamentos de PCI DSS: qué protege, a quién se aplica y la reducción de alcance.

Respuesta breve

PCI DSS (Payment Card Industry Data Security Standard) es una norma de seguridad mantenida por el PCI Security Standards Council que se aplica a cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. Se organiza en torno a objetivos de control que cubren una red segura, la protección de los datos almacenados, la gestión de vulnerabilidades, un control de acceso fuerte, la monitorización/pruebas y una política de seguridad de la información. El alcance es todo lo que está en el cardholder data environment (CDE) — por lo que la segmentación, la tokenización y no almacenar datos innecesarios son las principales formas de reducirlo.

PCI DSS es una norma contractual impuesta por las grandes marcas de tarjetas y mantenida por el PCI Security Standards Council. No es una ley, pero incumplirla puede suponer multas y la pérdida de la capacidad de procesar tarjetas. Los entrevistadores hacen esta pregunta para confirmar que entiendes el alcance — lo que genera la mayor parte del coste y la dificultad.

Qué protege y a quién cubre

PCI DSS protege los datos de titulares de tarjetas (el número de cuenta principal y los datos asociados) y los datos sensibles de autenticación (como el CVV y los datos completos de la banda magnética/del chip). Se aplica a cualquier comercio o proveedor de servicios que almacene, procese o transmita estos datos — desde la tienda de la esquina hasta un procesador de pagos global.

La norma agrupa los requisitos bajo grandes objetivos: construir y mantener una red segura, proteger los datos almacenados de los titulares de tarjetas, mantener un programa de gestión de vulnerabilidades, implementar un control de acceso fuerte, monitorizar y probar las redes con regularidad, y mantener una política de seguridad de la información.

Niveles de comercio y validación

Los comercios se clasifican en niveles según su volumen anual de transacciones. Los comercios de bajo volumen suelen autoevaluarse con un Self-Assessment Questionnaire (SAQ); los de alto volumen necesitan un Qualified Security Assessor externo y un Report on Compliance.

Reducción de alcance

Los datos más baratos de proteger son los que nunca tienes. Técnicas clave:

  • No almacenar lo que no necesitas — nunca retener datos sensibles de autenticación tras la autorización.
  • Tokenización — sustituir los números de tarjeta por tokens no sensibles.
  • Segmentación — aislar el cardholder data environment para que el resto de la red quede fuera de alcance.

Por qué importa

Una buena respuesta empieza por el alcance y la segmentación, y sabe que el CVV nunca debe almacenarse tras la autorización. Eso indica a alguien capaz de reducir de verdad la carga PCI de una organización, no solo de describirla.

Posibles preguntas de seguimiento

  • ¿Por qué no se permite almacenar el CVV/CVV2 tras la autorización?
  • ¿Cómo reduce la segmentación de red el alcance de PCI DSS y el esfuerzo de evaluación?
  • ¿Cuál es la diferencia entre un SAQ y un Report on Compliance (RoC)?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.