El cumplimiento PCI DSS no es un evento anual que se realiza de forma mecánica: es un proceso continuo que afecta redes, sistemas, personas y procedimientos. Para un comercio o una pyme que no quiere construir un equipo dedicado, disponer de una checklist clara es el punto de partida. Esta guía enumera los 8 puntos concretos del cumplimiento PCI DSS y explica dónde la tokenización reduce el trabajo de forma radical.
Perímetro y datos de tarjeta: el primer paso del cumplimiento PCI DSS
Antes de seguir cualquier checklist, debes entender exactamente por dónde pasan y dónde se almacenan los datos de tarjeta en tu entorno. El PAN (Primary Account Number), la fecha de caducidad y el CVV son los datos sensibles que protege el PCI DSS. Si cualquiera de estos datos transita por uno de tus servidores, ese servidor entra en el CDE (Cardholder Data Environment) y queda sujeto a todos los requisitos.
Muchas empresas descubren demasiado tarde que su CDE es mucho más amplio de lo esperado: un servidor de logs que registra peticiones HTTP, una base de datos de backup no segmentada, un sistema CRM que guarda números de tarjeta para el servicio de atención al cliente. Mapear el flujo de datos antes de cumplimentar cualquier documento es el prerrequisito de todo lo demás.
La checklist PCI DSS en 8 puntos concretos
Los 12 requisitos oficiales del PCI DSS se traducen en actividades operativas precisas. Estos son los principales compromisos que todo comercio debe afrontar:
- Firewall y segmentación de red: instalar y mantener configuraciones de firewall que aíslen el CDE del resto de la infraestructura.
- Sin contraseñas de fábrica: cambiar todas las contraseñas predeterminadas en dispositivos, routers y aplicaciones antes de la puesta en producción.
- Protección de datos almacenados: nunca conservar el CVV tras la autorización; cifrar los PAN con algoritmos aprobados si deben almacenarse.
- Cifrado en tránsito: utilizar TLS 1.2 o superior para cualquier transmisión de datos de tarjeta en redes públicas.
- Antivirus y gestión de vulnerabilidades: actualizar sistemas y aplicaciones, realizar escaneos de vulnerabilidades al menos cada trimestre.
- Control de accesos: principio de mínimo privilegio, autenticación multifactor para el acceso al CDE, revisión periódica de usuarios.
- Monitoreo y logging: registrar todos los accesos a los componentes del CDE, conservar los logs al menos durante 12 meses.
- Tests y pentests: realizar pruebas de penetración al menos una vez al año y tras cambios significativos en la infraestructura.
Cómo reducir el 90% de los requisitos con la tokenización
Cada punto de la checklist se aplica solo a los sistemas que tratan datos de tarjeta reales. Si tu entorno nunca ve un PAN, la mayoría de los requisitos no te afectan. La tokenización convierte esta lógica en práctica: en lugar de recibir el número de tarjeta, tu sistema recibe un token opaco generado por un vault certificado PCI DSS Level 1 como PCI Proxy EU.
El resultado concreto es un CDE reducido casi a cero: sin firewalls adicionales que certificar, sin cifrado de bases de datos que implementar, sin pentests en sistemas que ya no tocan los PAN. Solo permanecen activos los requisitos básicos relacionados con tu red y tus usuarios, que conforman un subconjunto mucho más manejable. Los comercios que adoptan esta arquitectura suelen pasar del SAQ D (más de 300 preguntas) al SAQ A (menos de 30 preguntas).
Preguntas frecuentes
¿Quién está obligado al PCI DSS?
Cualquier organización que acepte, procese, almacene o transmita datos de pago con tarjeta. No existen exenciones por tamaño: incluso un pequeño ecommerce con pocas transacciones al mes debe cumplir. La obligación deriva del contrato con el adquirente o el banco que habilita los pagos con tarjeta.
¿Cuánto cuesta el cumplimiento PCI DSS para una pyme?
Los costes varían mucho en función del perímetro. Una pyme con CDE extenso puede gastar entre 10.000 y 50.000 euros al año entre consultoría, pentests, escaneos de vulnerabilidades y certificaciones. Con tokenización y un perímetro mínimo, muchas pymes gestionan el cumplimiento con un SAQ autónomo y costes anuales inferiores a 2.000 euros.
¿Qué ocurre si no se cumple?
Las principales consecuencias son: sanciones mensuales de los esquemas de tarjetas (Visa, Mastercard) de 5.000 a 100.000 dólares, aumento de las comisiones de intercambio, posible revocación de la capacidad de aceptar pagos con tarjeta. En caso de brecha, se suman los costes de forense, notificación y reembolso de fraudes.
¿Quieres reducir tu checklist PCI DSS a los elementos mínimos indispensables? Descubre PCI Proxy EU.