El cumplimiento de la certificación PCI DSS (Payment Card Industry Data Security Standard)

impone una serie de obligaciones tanto al emisor de tarjetas como a otros actores en el
procesamiento de pagos. A continuación, se detallan algunas de las obligaciones
específicas del emisor de tarjetas en relación con la certificación PCI:

Protección de datos del titular de la tarjeta: El emisor de la tarjeta debe implementar

medidas de seguridad adecuadas para proteger los datos del titular de la tarjeta (números
de tarjeta, nombres, fechas de vencimiento, códigos de seguridad, etc.) durante la
transmisión, almacenamiento y procesamiento.

Políticas y procedimientos de seguridad: El emisor de la tarjeta debe establecer y

mantener políticas y procedimientos de seguridad que aborden los requisitos específicos
del estándar PCI DSS. Estas políticas y procedimientos deben ser documentados,
comunicados a todos los empleados relevantes y revisados regularmente.

Gestión de vulnerabilidades: El emisor de la tarjeta debe implementar medidas para

identificar y abordar las vulnerabilidades de seguridad en su entorno. Esto incluye la
realización de evaluaciones regulares de seguridad, escaneos de vulnerabilidad y pruebas
de penetración para detectar posibles brechas en la seguridad.

Seguridad de la red: El emisor de la tarjeta debe proteger su infraestructura de red

mediante la implementación de medidas de seguridad, como firewalls, segmentación de
red y controles de acceso restringido. También se requiere el uso de contraseñas fuertes y
únicas para acceder a los sistemas y dispositivos.

Monitoreo y registro de eventos: El emisor de la tarjeta debe tener sistemas de monitoreo

en su lugar para detectar y registrar eventos de seguridad. Estos registros deben ser
revisados regularmente para identificar y responder a posibles incidentes de seguridad.

Educación y concientización sobre seguridad: El emisor de la tarjeta debe proporcionar

capacitación y concientización regular a sus empleados sobre las políticas y
procedimientos de seguridad, así como sobre las mejores prácticas para proteger la
información del titular de la tarjeta.

Es importante tener en cuenta que las obligaciones exactas pueden variar dependiendo
del tamaño y la complejidad de la organización, así como de los acuerdos y contratos
específicos con las redes de pago y los proveedores de servicios. Se recomienda a las
organizaciones consultarlo directamente con los estándares y requisitos establecidos por
el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC, por sus
siglas en inglés) y las redes de pago relevantes.

El emisor de una tarjeta no está directamente obligado a obtener la certificación PCI DSS
(Payment Card Industry Data Security Standard). La certificación PCI DSS es un estándar
de seguridad de datos establecido por el Consejo de Normas de Seguridad de la
Industria de Tarjetas de Pago (PCI SSC) que se aplica a las entidades que procesan,
transmiten o almacenan datos de tarjetas de pago.

Sin embargo, como emisor de tarjetas, el cumplimiento de los requisitos de seguridad y

protección de datos es una parte fundamental de la gestión de riesgos y la protección de
los titulares de las tarjetas. Los emisores de tarjetas deben asegurarse de implementar
medidas de seguridad adecuadas para proteger los datos de los titulares de las tarjetas y
cumplir con las regulaciones y estándares relevantes, como la Ley de Protección de
Datos y cualquier regulación específica del sector.

Además, los emisores de tarjetas generalmente están involucrados en el cumplimiento

de los requisitos de PCI DSS a través de su relación con los proveedores de servicios de
pago y las redes de pago. Los emisores de tarjetas suelen requerir que los proveedores
de servicios de pago con los que trabajan cumplan con los requisitos de PCI DSS para
garantizar la seguridad de las transacciones realizadas con sus tarjetas.

En resumen, aunque los emisores de tarjetas no están directamente obligados a obtener

la certificación PCI DSS, deben implementar medidas de seguridad y protección de datos
para garantizar la seguridad de las transacciones y cumplir con las regulaciones y
estándares relevantes en la industria de tarjetas de pago.