22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

Guides / Recursos para productos

Guía de cumplimiento de la
normativa PCI
Las Normas de Seguridad de los Datos del Sector de Tarjetas de Pago (PCI DSS)
fijan el parámetro mínimo de seguridad de los datos. Esta es una guía paso a
paso para asegurar el cumplimiento de la normativa y saber cómo Stripe puede
ayudarte.

Mike Dahn

En Stripe, Mike Dahn está a cargo de las relaciones en política de seguridad. Es instructor,
auditor e instrumentador de la normativa PCI y rectificaciones.

Introducción
Resumen sobre la normativa de seguridad de los datos PCI (PCI DSS)
Guía paso a paso para el cumplimiento de la normativa PCI DSS v3.2.1
Cómo ayuda Stripe a que las organizaciones cumplan y mantengan el cumplimiento de la
normativa PCI
Conclusión

Más información sobre Stripe 

Desde 2005, más de 11.000 millones de registros de clientes se han puesto en riesgo a causa de
más de 8.500 filtraciones de datos. Estas son las últimas cifras de The Privacy Rights
Clearinghouse, que informa sobre filtraciones de datos y violaciones de seguridad que afectan a
los consumidores desde 2005.

Para mejorar la seguridad de los datos del consumidor y la confianza en el ecosistema de pagos,
se creó una norma básica para la seguridad de los datos. En 2006, Visa, Mastercard, American
Express, Discover y JCB formaron el Consejo de Normas de Seguridad para la Industria de las
Tarjetas de Pago (PCI SSC) destinado a administrar y gestionar las normas de seguridad de las
empresas que manejan datos de tarjetas de crédito. Antes de la creación del consejo, estas
cinco empresas de tarjetas de crédito tenían programas de normas de seguridad propios, cada
una con requisitos y objetivos bastante similares. Se unieron en el PCI SSC para adoptar una sola
política estándar, las Normas de Seguridad de los Datos de PCI (conocidas como PCI DSS o
«normativa PCI»), a fin de garantizar un nivel básico de protección de los consumidores y los
bancos en la era de Internet.
https://stripe.com/es-us/guides/pci-compliance 1/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

Comprender la normativa PCI es una tarea compleja y desafiante

Si tu modelo de empresa exige manejar datos de tarjetas, es posible que debas cumplir cada
uno de los más de 300 controles de seguridad estipulados en esta normativa. Hay más de 1800
páginas de documentación oficial sobre la normativa publicada por el consejo y más de 300
páginas solo para entender qué formularios se usan para validar el cumplimiento. Esto implicaría
72 horas solo de lectura.

Para aliviar esta carga, sigue a continuación una guía paso a paso sobre cómo validar y asegurar
el cumplimiento de la normativa PCI.

Resumen sobre la normativa de seguridad

de los datos PCI (PCI DSS)
PCI DSS es la normativa internacional de seguridad para todas las entidades que almacenan,
procesan o transmiten datos de titulares de tarjeta o datos sensibles de autenticación. La
normativa PCI DSS establece un nivel básico de protección para los consumidores y ayuda a
reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Se aplica a
toda organización que acepte o procese tarjetas de pago.

El cumplimiento de la normativa PCI DSS implica tres componentes principales:

1. Manejar la recepción de los datos de tarjetas de crédito de los consumidores, es decir, reunir
y transmitir los datos sensibles de las tarjetas de manera segura

2. Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de
la normativa PCI, por ejemplo, mediante cifrado, vigilancia continua y verificación de la
seguridad del acceso a los datos de tarjeta

3. Validar anualmente el funcionamiento de los controles de seguridad necesarios, lo que

puede implicar formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades
y auditorías de terceros (ver el cuadro con los cuatro niveles de requisitos de la guía paso a
paso a continuación)

Manejo de los datos de tarjeta

Algunos modelos comerciales exigen el manejo directo de los datos sensibles de tarjetas de
crédito al aceptar los pagos, mientras que otros no. Es posible que a las empresas que sí
necesitan manejar los datos (p. ej., porque aceptan números de cuentas primarias sin un token
en una página de pago) se les solicite que cumplan cada uno de los más de 300 controles de
seguridad estipulados en la normativa PCI DSS. Aun cuando los datos de las tarjetas pasen por
su servidor brevemente, la empresa deberá comprar, instalar y mantener software y hardware de
seguridad.

Si una empresa no necesita manejar los datos sensibles de tarjetas de crédito, no debe hacerlo.
Hay soluciones de terceros (p. ej., Stripe Elements) que aceptan y almacenan los datos de
manera segura, con lo que se evitan todas las complicaciones, los costes y los riesgos. Debido a
que los datos de las tarjetas nunca entran en contacto con sus servidores, estas empresas solo
necesitan confirmar 22 controles de seguridad, la mayoría de los cuales son muy simples como,
por ejemplo, el uso de una contraseña segura.

Almacenamiento seguro de los datos

https://stripe.com/es-us/guides/pci-compliance 2/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

Si una organización maneja o almacena datos de tarjetas de crédito, debe definir el alcance del
entorno de datos del titular de la tarjeta (CDE). La normativa PCI DSS define el CDE como las
personas, los procesos y las tecnologías que sirven para almacenar, procesar o transmitir datos
de tarjetas de crédito, o cualquier sistema relacionado con esto. Debido a que al CDE se le
aplican todos los requisitos de seguridad de la normativa PCI DSS, que son más de 300, es
importante segmentar bien el entorno de pago del resto de la empresa para limitar el alcance de
la validación conforme a esta normativa. Si una organización no puede contener el alcance del
CDE con una segmentación pormenorizada, los controles de seguridad conforme a la normativa
PCI deben aplicarse a todo sistema, ordenador portátil o dispositivo que esté en su red
corporativa. ¡Impresionante!

Validación anual
Independientemente de cómo se acepten los datos de tarjeta, las organizaciones deben
completar un formulario de validación conforme a la normativa PCI todos los años. La forma
como se valide el cumplimiento de la normativa PCI depende de varios factores, que se
describen abajo. A continuación, se presentan tres casos por los que se le podría pedir a una
organización que demuestre que cumple con la normativa PCI:

Los procesadores de pagos pueden solicitarlo como parte de su proceso obligatorio de

notificación a las marcas de tarjetas de pago.

Los socios comerciales pueden solicitarlo como requisito previo a la firma de un acuerdo
comercial.

En caso de empresas que usan una plataforma (aquellas cuya tecnología facilita las
transacciones en línea de varios subconjuntos de usuarios), los clientes pueden solicitarlo
para demostrarle a su clientela que manejan los datos de manera segura.

El último conjunto de normas de seguridad, PCI DSS versión 3.2.1, incluye 12 requisitos
principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.

CREAR Y MANTENER SISTEMAS Y UNA RED SEGUROS

1. Instalar y mantener un cortafuegos configurado para proteger los datos del titular de la
tarjeta.

2. No uses los valores predeterminados suministrados por el proveedor para las contraseñas
de los sistemas y otros parámetros de seguridad.

PROTEGER LOS DATOS DEL TITULAR DE LA TARJETA

3. Proteger los datos del titular almacenados.

4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes abiertas o públicas.

MANTENER UN PROGRAMA DE GESTIÓN DE VULNERABILIDADES

5. Proteger todos los sistemas contra software malicioso y actualizar periódicamente el

software antivirus.

6. Desarrollar y mantener sistemas y aplicaciones seguros.

APLICAR MEDIDAS SÓLIDAS DE CONTROL DE ACCESO

7. Restringir el acceso a los datos del titular de la tarjeta conforme a la necesidad de acceso
que tenga la empresa.

8. Identificar y autenticar el acceso a los componentes del sistema.

9. Restringir el acceso físico a los datos del titular de la tarjeta.

https://stripe.com/es-us/guides/pci-compliance 3/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

VIGILAR Y VERIFICAR PERIÓDICAMENTE LAS REDES

10. Rastrear y monitorizar todo el acceso a los recursos de la red y los datos del titular de la
tarjeta.

11. Verificar periódicamente los sistemas y procesos de seguridad.

TENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

12. Tener una política que contemple la seguridad de la información para todo el personal.

Para que a las empresas nuevas les resulte «más fácil» el proceso de validación del cumplimiento
de la normativa PCI, el Consejo PCI creó nueve formularios diferentes o cuestionarios de
autoevaluación (SAQ) que subdividen los requisitos de la normativa PCI DSS. La clave está en
determinar cuál se aplica o si es necesario contratar a un auditor aprobado por el consejo para
que verifique si se ha cumplido cada requisito de seguridad conforme a la normativa PCI DSS.
Además, este consejo modifica las reglas cada tres años y publica actualizaciones progresivas
durante todo el año, lo que hace que su complejidad sea aún más dinámica.

Guía paso a paso para el cumplimiento de

la normativa PCI DSS v3.2.1

1. Conoce tus requisitos

El primer paso para cumplir con la normativa PCI implica conocer los requisitos que se aplican a
tu organización. Hay cuatro niveles diferentes de cumplimiento que, por lo general, se basan en
el volumen de transacciones con tarjeta de crédito que procese tu empresa en un lapso de 12
meses.

Nivel de cumplimiento
Aplicación Requisitos

Nivel 1

1. Organizaciones que al año procesan más de 6 millones de transacciones de Visa o 1. Informe an

Mastercard, o más de 2,5 millones de American Express; o cualificado
2. Casos de filtración de datos; o auditor inte
3. Que se consideran de «Nivel 1» por parte de cualquier asociación de tarjetas (Visa, 2. Análisis tri
Mastercard, etc.) 3. Certificació
específicos

Nivel 2

Organizaciones que procesan entre 1 y 6 millones de transacciones al año 1. Cuestionar

datos de la
2. Análisis tri
3. Certificació
AOC corre

Nivel 3

1. Organizaciones que procesan entre 20.000 y 1 millón de transacciones en línea al año Lo mismo qu
2. Organizaciones que procesan al año menos de 1 millón de transacciones en total

https://stripe.com/es-us/guides/pci-compliance 4/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

Nivel 4

1. Organizaciones que procesan menos de 20.000 transacciones en línea al año, u Lo mismo qu

2. Organizaciones que procesan al año hasta 1 millón de transacciones en total

Para los niveles 2 a 4, hay diferentes tipos de SAQ según qué método de integración de pagos
uses. He aquí una tabla resumida:

SAQ
Descripción

Comerciantes que operan sin presentar la tarjeta (e-commerce o pedidos por teléfono o por correo)
y que subcontratan a terceros acreditados conforme a los estándares de seguridad de datos de la
normativa PCI (PCI DSS) para que se ocupen de todas las funciones relacionadas con los datos de
los titulares de tarjetas sin que se almacenen, procesen ni transmitan por vía electrónica tales datos
en los sistemas o establecimientos de los comerciantes.

No aplicable a canales presenciales.

A-EP

Comerciantes de e-commerce que subcontratan a terceros acreditados conforme a los estándares

de seguridad de datos de la normativa PCI (PCI DSS) para que procesen todos los pagos y que
tienen sitios web que no reciben los datos de los titulares de tarjetas directamente, pero que pueden
afectar a la seguridad de la transacción de pago. No se almacenan, procesan ni transmiten por vía
electrónica datos de los titulares de tarjetas en los sistemas o establecimientos de los comerciantes.

Aplicable solo a canales de e-commerce.

Comerciantes que usan solo:

Aparatos de impresión sin almacenamiento electrónico de datos de titulares de tarjetas, y/o

terminales autónomas de llamadas externas sin almacenamiento electrónico de datos de
titulares de tarjetas.

No aplicable a canales de e-commerce.

B-IP

Comerciantes que usan solo terminales de pago autónomas aprobadas conforme a la norma de
seguridad de transacciones con PIN (PTS) con una conexión IP al procesador de pagos sin
almacenamiento electrónico de datos de titulares de tarjetas.

No aplicable a canales de e-commerce.

C-VT

Comerciantes que introducen manualmente las transacciones de una en una mediante un teclado
conectado a una terminal de pago virtual basada en Internet, proporcionada y alojada por un
proveedor de servicios acreditado conforme a los estándares de seguridad de datos de la normativa
PCI (PCI DSS). Sin almacenamiento electrónico de datos de titulares de tarjetas.

No aplicable a canales de e-commerce.

https://stripe.com/es-us/guides/pci-compliance 5/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

Comerciantes con sistemas de aplicaciones de pago conectados a Internet sin almacenamiento

electrónico de los datos de titulares de tarjetas.

No aplicable a canales de e-commerce.

P2PE

Comerciantes que solo usan terminales de pago físicas incorporadas a una solución de cifrado de
punto a punto (P2PE) incluida en la lista del consejo PCI SSC y administradas por dicha solución sin
almacenamiento electrónico de los datos del titular.

No aplicable a canales de e-commerce.

SAQ D PARA COMERCIANTES: todos los comerciantes no incluidos en las descripciones de los tipos
de SAQ que figuran arriba.

SAQ D PARA PROVEEDORES DE SERVICIOS: todos los proveedores de servicios definidos por una
marca de pago como admisibles para completar un SAQ.

2. Traza el diagrama de los flujos de datos

Para poder proteger los datos sensibles de tarjetas de crédito, debes saber dónde residen y
cómo llegan hasta allí. Tendrás que trazar un diagrama integral de los sistemas, las conexiones
de red y las aplicaciones que interactúen con datos de tarjetas de crédito en tu organización.
Según cuál sea tu función, es probable que para esto, tengas que trabajar con los equipos de TI y
seguridad.

En primer lugar, identifica las áreas de la empresa orientadas al consumidor que impliquen
transacciones con tarjeta. Por ejemplo, puedes aceptar pagos a través de un carrito de
compra virtual, las terminales de pago de una tienda o un pedido telefónico.

En segundo lugar, identifica las diferentes maneras en que se manejan los datos de los
titulares de tarjeta en toda la empresa. Es importante saber exactamente dónde se guarda la
información y quién tiene acceso a ella.

Por último, identifica los sistemas internos o tecnologías subyacentes que están en contacto
con las transacciones de pago. Esto incluye tus sistemas de red, los centros de datos y los
entornos en la nube.

3. Verificación de los controles y protocolos de seguridad

Una vez que identificas todos los puntos que podrían entrar en contacto con los datos de
tarjetas de crédito en tu organización, trabaja con los equipos de TI y seguridad para garantizar
que se instituyan las configuraciones y protocolos de seguridad correctos (consulta la lista de 12
requisitos de seguridad de la normativa PCI más arriba). Estos protocolos han sido concebidos
para proteger la transmisión de datos, como Transport Layer Security (TLS).

Los 12 requisitos de seguridad de la normativa PCI DSS v3.2.1 salen de las mejores prácticas para
proteger los datos sensibles de cualquier empresa. Varios se superponen con los requisitos
exigidos conforme al RGPD, la HIPAA y otros mandatos de privacidad, por lo que es posible que
tu organización ya esté cumpliendo algunos de ellos.

https://stripe.com/es-us/guides/pci-compliance 6/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

4. Vigilar y mantener
Cabe destacar que el cumplimiento de la normativa PCI no es un acontecimiento aislado, sino un
proceso continuo con el que asegurar que tu empresa siga cumpliendo con la normativa a
medida que el flujo de datos y los puntos de contacto con los clientes aumentan. Algunas
marcas de tarjetas de crédito pueden solicitar informes trimestrales o anuales o llevar a cabo
una evaluación anual en el establecimiento para validar el cumplimiento constante, en especial
si procesas más de 6 millones de transacciones al año.

La gestión del cumplimiento de la normativa PCI durante el año ( y a través de los años) suele
requerir apoyo y colaboración interdepartamental. Si no existe, vale la pena crear un equipo
interno dedicado a ello para asegurar debidamente el cumplimiento. Si bien cada empresa es
única, para crear un buen "equipo PCI" se puede empezar por incluir un representante de cada
uno de los siguientes sectores:

Seguridad: El Director General de Seguridad (CSO), el Director General de Seguridad

Informática (CISO) y sus equipos garantizan que la organización siempre invierta
correctamente en los recursos y políticas de privacidad y seguridad de los datos necesarios.

Tecnología/pagos: El Director General de Tecnología (CTO), el vicepresidente de Pagos y sus

equipos garantizan que las principales herramientas, integraciones e infraestructuras se
mantengan dentro de la norma a medida que crecen los sistemas de la organización.

Finanzas: El Director General de Finanzas (CFO) y su equipo garantizan que se tomen en

cuenta todos los flujos de datos de pago cuando se trata de socios y sistemas de pago.

Asuntos jurídicos: Este equipo ayuda a manejar la gran cantidad de matices legales que
implica el cumplimiento de la normativa PCI DSS.

Para obtener más información sobre el complejo mundo del cumplimiento de la normativa PCI,
visita el sitio web de PCI Security Standards Council. Si solo lees esta guía y algunos otros
documentos acerca de la normativa, te recomendamos empezar por estos: enfoque prioritario
de la normativa PCI, instrucciones y guía sobre los SAQ, las preguntas más frecuentes sobre el
uso de los criterios de admisibilidad de los SAQ a fin de determinar los requisitos de evaluación
en el lugar, y las preguntas más frecuentes sobre las obligaciones de los comerciantes que
desarrollan aplicaciones para dispositivos que aceptan datos de tarjetas de pago de los
consumidores.

Cómo ayuda Stripe a que las

organizaciones cumplan y mantengan el
cumplimiento de la normativa PCI
Stripe simplifica considerablemente la carga del cumplimiento de esta normativa para las
empresas que integran Checkout, Elements, SDK para móviles, y SDK para Terminal. Stripe
Checkout y Stripe Elements usan un campo de pago alojado para manejar todos los datos de las
tarjetas de pago, de modo que el titular de la tarjeta introduce todos los datos sensibles de pago
en un campo que se origina directamente en nuestros servidores validados para PCI DSS. Los
SKD para móviles y para Terminal de Stripe también le permiten al titular de la tarjeta enviar la
información delicada directamente a nuestros servidores validados para PCI DSS.

Al contar con métodos de aceptación de tarjetas más seguros como estos, rellenamos el
cuestionario de autoevaluación (SAQ) de la normativa PCI en el Dashboard de Stripe para que la
validación conforme a la normativa implique solo hacer clic en un botón. En el caso de
organizaciones pequeñas, esto puede ahorrar cientos de horas de trabajo. En el caso de
organizaciones más grandes, puede ahorrar miles de horas.

https://stripe.com/es-us/guides/pci-compliance 7/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

Para todos los usuarios, independientemente del tipo de integración, Stripe actúa como un
intercesor de la normativa PCI y ayuda de diferentes maneras.

Analizamos tu método de integración y te aconsejamos sobre qué formulario usar y cómo

aliviar la carga del proceso de cumplimiento.

Te notificamos con anticipación en caso de que el aumento del volumen de transacciones

requiera un cambio en la forma de validación del cumplimiento.

Para grandes comerciantes (Nivel 1), proporcionamos un paquete sobre la normativa PCI que
reduce de meses a días el tiempo de validación de esta normativa. Si necesitas trabajar con
un asesor de seguridad certificado (QSA) (porque almacenas datos de tarjetas de crédito o
tienes un flujo de pago más complejo), hay más de 350 empresas asesoras en el mundo, y
podemos ponerte en contacto con varios auditores que conocen a fondo los diferentes
métodos de integración de Stripe.

Conclusión
La evaluación y la validación del cumplimiento de la normativa PCI, por lo general, se hacen una
vez al año, pero no se trata de un acontecimiento aislado, sino de un gran esfuerzo continuo de
evaluación y corrección. A medida que una empresa crece, se amplían los principales procesos y
lógicas comerciales, lo que implica que aumentan también los requisitos de cumplimiento. Una
empresa online, por ejemplo, puede decidir abrir tiendas físicas, entrar en nuevos mercados o
lanzar un centro de soporte para el cliente. Si algo de lo nuevo implica datos de tarjetas de pago,
es aconsejable que te adelantes y verifiques si repercute en tu método de validación conforme a
la normativa PCI y revalida el cumplimiento según sea necesario.

El cumplimiento de la normativa PCI ayuda, pero no es

suficiente.
La observancia de las directrices de la normativa PCI DSS es una instancia necesaria de
protección de tu empresa, pero no es suficiente. La normativa PCI DSS establece normas
importantes para el manejo y el almacenamiento de los datos del titular, pero por sí sola, no
ofrece suficiente protección para todos los entornos de pago. En cambio, pasar a un método de
aceptación de tarjetas más seguro (como Stripe Checkout, Elements y SDK para móviles) es una
forma mucho más eficaz de proteger tu organización. El beneficio a largo plazo es que no será
necesario que te bases en las normas básicas de la industria ni que te preocupes por si fallan los
controles de seguridad. Este enfoque les da a las empresas versátiles una forma de mitigar
posibles filtraciones de datos y evitar el proceso de validación de la normativa PCI que
tradicionalmente ha implicado inversión de tiempo, gastos y un coste emocional, por no
mencionar que un método de integración más seguro resulta fiable todos los días del año.

Nivel de comerciante de Visa

Tiempo medio de auditoría Tiempo med
(estimaciones anuales) (estimacione

Nivel 1

De 3 a 5 meses De 2 a 5 días

Nivel 2

De 1 a 3 meses 0 días

https://stripe.com/es-us/guides/pci-compliance 8/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

Nivel 3

De 1 a 3 meses 0 días

Nivel 4

De 1 a 3 meses 0 días

¿A punto para empezar? Contáctanos o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos
bancarios. También puedes contactarnos para diseñar un paquete personalizado
para tu empresa.

Contacta con el equipo ventas 

Estados Unidos
Español (España)

© 2023 Stripe, Inc.

Productos Soluciones
Atlas E-commerce
Billing SaaS
Capital Marketplaces
Checkout Finanzas integradas
Climate Plataformas
Connect Economía de los creadores
Corporate Card Criptomoneda
Data Pipeline Empresas de todo el mundo
Elements
Financial Connections
Identity Integraciones y soluciones personalizadas
Invoicing App Marketplace
Issuing Partner Ecosystem
Link Servicios profesionales
Payments
Payment Links

https://stripe.com/es-us/guides/pci-compliance 9/10
22/2/23, 15:05 Guía de cumplimiento de la normativa PCI

Payouts Desarrolladores
Tarifas Documentación
Radar Referencia de la API
Revenue Recognition Estatus de la API
Sigma Changelog de la API
Tax Crear una aplicación de Stripe
Terminal
Treasury

Recursos Empresa
Centro de soporte Empleos
Planes de soporte Redacción
Guías Stripe Press
Historias de clientes Conviértete en socio
Blog
Conferencia anual
Ponte en contacto con el equipo ventas
Privacidad y condiciones
Licencias
COVID-19
Mapa del sitio
Configuración de cookies
Tus opciones de privacidad de California

https://stripe.com/es-us/guides/pci-compliance 10/10