PCI DSS no es una certificación de seguridad.
Es un estándar contractual que define el piso mínimo de controles para quien toca datos de tarjeta.
La pregunta no es si aplica. Es si tu cumplimiento es demostrable cuando alguien lo pida.
La regla es directa: si tu empresa almacena, procesa o transmite datos de titulares de tarjetas, o puede afectar su seguridad, estás dentro del alcance. El criterio lo definen las redes de tarjeta (Visa, Mastercard, Amex) a través de sus acuerdos con los bancos adquirentes. Conoce el análisis completo →
Cualquier empresa que acepta pagos con tarjeta: ecommerce, retailers, hoteles, restaurantes, gasolineras, hospitales, marketplaces, suscripciones.
Entidades que procesan, almacenan o transmiten datos de tarjeta en nombre de otros: pasarelas, procesadores, hosting, contact centers, facturación, tokenización.
La responsabilidad no se hereda. Se comparte.
Bancos adquirentes, emisores de tarjetas y entidades reguladas por la CNBV. Los requerimientos más estrictos del ecosistema.
Las 89 ITF autorizadas por la CNBV y fintechs que procesan pagos. La Ley Fintech también exige certificaciones a sus proveedores tecnológicos.
Sí, sigues en alcance, pero reducido. Con checkout hosted calificas para SAQ A (~31 preguntas). Con PCI DSS 4.0 también debes proteger tu sitio contra e-skimming.
La certificación del proveedor de nube no cubre los controles de tu aplicación. Debes verificar que tus propios controles también cumplan PCI DSS.
Tu nivel no lo decides tú. Lo determina tu banco adquirente o la red de tarjeta según el volumen anual de transacciones.
Alerta de reclasificación: Si tu empresa sufre una brecha de datos de tarjeta, puede ser reclasificada automáticamente a Level 1, independientemente del volumen. Eso implica auditoría ROC obligatoria por QSA externo y mayor escrutinio permanente.
| Tipo SAQ | Para quién aplica | Preguntas |
|---|---|---|
| SAQ A | Ecommerce que externaliza 100% del procesamiento con checkout hosted | ~31 |
| SAQ A-EP | Ecommerce con website propio que impacta seguridad pero usa procesador externo | ~190 |
| SAQ B | Terminales físicas con dial-out (sin conexión a internet) | ~41 |
| SAQ B-IP | Terminales PTS autónomas con IP | ~82 |
| SAQ C-VT | Terminal virtual en computadora dedicada solo para pagos | ~82 |
| SAQ C | Sistemas de pago con aplicación conectada a internet | ~160 |
| SAQ P2PE | Solución Point-to-Point Encryption validada | ~35 |
| SAQ D-M | Todos los merchants que no califican en otro tipo | ~251 |
| SAQ D-SP | Service Providers nivel 2 | ~269 |
PCI DSS v4.0 tiene 259 requisitos en 12 categorías. Lo que importa para un CTO, CISO o Director de TI es entender qué decisión de negocio o arquitectura resuelve cada una.
Firewalls, segmentación y controles que aíslen el CDE (Cardholder Data Environment). En v4.0 incluye entornos cloud: AWS Security Groups, Azure NSGs.
Cambiar todas las contraseñas por defecto del fabricante. Inventario y baseline de configuración segura. Si tienes equipos con credenciales de fábrica, estás en riesgo inmediato.
Cifrar el PAN (Primary Account Number, el número de tarjeta). Nunca almacenar CVV ni PIN post-autorización. En v4.0: hash criptográfico con clave obligatorio.
TLS actualizado para toda transmisión de datos de tarjeta. Certificados válidos en todas las integraciones. TLS es la capa mínima, no diferenciador: es requisito de entrada.
Antimalware activo en todos los endpoints del CDE. Nuevo en v4.0: mecanismos anti-phishing DMARC, SPF y DKIM (protocolos que reducen la suplantación de dominio).
Parcheo oportuno y gestión de vulnerabilidades en sistemas. Detección de cambios en archivos de configuración. Crítico v4.0: inventario de scripts en páginas de pago (Req. 6.4.3) y escaneos de vulnerabilidades tras cambios significativos.
Privilegio mínimo: solo quien necesite datos de tarjeta para su función. Revisión de cuentas cada 6 meses, nuevo en v4.0.
ID única, contraseñas mínimo 12 caracteres, MFA (Multi-Factor Authentication, segundo factor como token o biométrico) obligatorio para todo acceso al CDE. Reforzado en v4.0.
Restringir acceso a servidores, terminales POS y medios con datos. Registros de visitantes, cámaras, destrucción segura. Vector real especialmente en retail y salud.
Logs de auditoría completos con detección de anomalías en tiempo real. Nuevo v4.0: alerta automatizada ante logs comprometidos. Cubierto directamente por el TecnetSOC — Ver cómo ayuda al cumplimiento PCI DSS →
Escaneos ASV (Approved Scanning Vendor) trimestrales, pentests anuales. Crítico v4.0: Req. 11.6.1, detección de tampering en páginas de pago. Cubierto directamente por el TecnetSOC.
Política integral, análisis de riesgo documentado, capacitación. Gestión de TPSP (Third Party Service Providers). Nuevo v4.0: Targeted Risk Analysis para justificar frecuencias. El TecnetSOC apoya el inventario de sistemas en alcance (Req. 12.5.1) mediante dashboards y visibilidad de agentes.
Lo que sigue no es una lista de riesgos teóricos. Es lo que le pasa a una empresa cuando las redes de tarjeta o el regulador actúan.
Según el estudio "Estado de la ciberseguridad en el sistema financiero mexicano" elaborado por la OEA en conjunto con la CNBV, todas las instituciones financieras en México identificaron eventos en sus plataformas digitales que atentaban contra su ciberseguridad, y el 43% de esos eventos resultó exitoso. Las consecuencias ya no son solo contractuales. Son regulatorias.
El costo del incumplimiento PCI DSS no vive solo en el presupuesto de TI. Las multas, el incremento en comisiones y el costo de una investigación forense impactan directamente el P&L (resultados financieros de la operación). Una empresa que procesa 500,000 transacciones anuales con tarjeta y opera sin cumplimiento verificable tiene una exposición financiera que ningún CFO debería dejar fuera del análisis de riesgo operativo.
PCI DSS no opera en un vacío. Tiene intersecciones directas con las principales regulaciones del sector financiero. Entender dónde se complementan y dónde difieren es clave para evitar duplicar esfuerzos.
Artículo 316 Bis 10 alineado con requisitos de cifrado y seguridad de tarjetahabientes. Complementario a PCI DSS.
Regula seguridad del SPEI y redes de pago. Exige CISO, pentests y resiliencia operativa. Complementario.
Requiere auditorías de terceros, pentests anuales y certificaciones (ISO 27001, SOC 2 o PCI DSS) en proveedores tecnológicos.
Los datos de tarjeta son datos personales financieros sensibles. PCI DSS ayuda, pero no sustituye a LFPDPPP: requiere aviso de privacidad, derechos ARCO y notificación de vulneraciones.
Si ya tienes ISO 27001, no empiezas desde cero. Tienes aproximadamente el 50% del trabajo hecho. Lo que ISO 27001 no cubre son los controles técnicos específicos de datos de tarjeta: cifrado de PAN, gestión de CVV, monitoreo de páginas de pago, escaneos ASV. Ese es exactamente el gap que TecnetOne ayuda a cerrar.
Cumplir PCI DSS no es un proyecto de una sola vez. Es un ciclo continuo de evaluación, implementación y validación. Con tiempos reales, responsabilidades claras y evidencia generada en cada etapa.
Alcance real, gaps vs. requisitos aplicables, nivel PCI DSS que corresponde.
Plan por prioridades: estabilización, protección y optimización.
Controles técnicos, políticas documentadas y evidencia preparada.
SAQ o ROC por QSA (auditor certificado PCI SSC). AOC para tu banco adquirente.
TecnetSOC operando con SLA definido. Evidencia auditable en cada ciclo.
| Tipo de evaluación | Tiempo estimado | Perfil típico |
|---|---|---|
| SAQ A | 2–6 semanas | Ecommerce con checkout hosted |
| SAQ D Merchant | 3–6 meses | Merchants con mayor alcance técnico |
| ROC Level 1 | 6–12 meses | +6M transacciones / grandes instituciones |
En TecnetOne no prometemos que nunca te van a atacar. Prometemos que si algo pasa, lo detectamos, lo contenemos y generamos la evidencia que necesitas para demostrar que tus controles funcionaban. Eso es lo que una auditoría PCI DSS necesita ver. Descubre cómo lo hacemos →
Centro de Operaciones de Seguridad como Servicio. No es una herramienta. Es el método que hace que tus controles PCI DSS sean demostrables cuando los auditen.
Sin infraestructura adicional de tu lado. Activo desde el primer día. Con SLA documentado por contrato.
Detección de amenazas en tiempo real. SIEM + XDR + IDS/IPS + UEBA (User and Entity Behavior Analytics).
Reportes estructurados que demuestran que el control existía, funcionaba y respondió. Eso es lo que el Req. 10 exige y lo que un QSA necesita ver.
Escaneos y parches gestionados. Detección de tampering en páginas de pago (Req. 11.6.1).
Aislamiento, eliminación y restauración. Con evidencia forense del proceso completo.
EDR (Endpoint Detection and Response) · Antimalware Zero Day · Backup continuo con recuperación medible · DLP (Data Loss Prevention).
No es una ley gubernamental, pero es de cumplimiento obligatorio por contrato. Las redes de tarjeta lo exigen a todos los participantes. El incumplimiento resulta en multas de $5,000 a $100,000 USD mensuales y la revocación de la capacidad de aceptar tarjetas.
PCI DSS v4.0.1, publicada en junio de 2024. Desde el 31 de marzo de 2025, los 51 requisitos que antes eran opcionales son obligatorios para todas las empresas en alcance.
Sí, pero con alcance reducido. Con checkout hosted calificas para SAQ A (~31 preguntas). Con PCI DSS 4.0 también debes proteger tu sitio contra e-skimming y completar el SAQ anualmente.
SAQ A: 2–6 semanas. SAQ D Merchant: 3–6 meses. ROC Level 1: 6–12 meses. Con TecnetOne, el diagnóstico inicial se completa en menos de 2 semanas con roadmap claro desde el primer día.
ISO 27001 es voluntaria, basada en riesgos y cubre toda la seguridad de la información. PCI DSS es obligatoria contractualmente y enfocada en datos de tarjeta. Si ya tienes ISO 27001, aproximadamente el 50% de PCI DSS está cubierto.
Un QSA (Qualified Security Assessor, auditor externo certificado por el PCI SSC para auditorías formales de cumplimiento) es necesario si eres Level 1 o si tu banco lo exige. Para merchants Level 2, 3 y 4 puedes autoevaluarte con SAQ.
Diagnóstico inicial en menos de 2 semanas. Definimos tu nivel, identificamos gaps y entregamos un roadmap con alcance claro.