Niveles de cumplimiento de los comercios con seguridad de datos y los DSS de PCI
Título del evento | Fecha del evento | Público |
---|---|---|
|
24 de mayo de 2018 |
Comercios, adquirentes, emisores, procesadores |
-
- 1. Instala y mantén una configuración de firewall para proteger la información del tarjetahabiente.
- 2. No utilices los valores predeterminados provistos por los proveedores para las contraseñas y otros parámetros de seguridad de los sistemas.
-
- 3. Protege la información del tarjetahabiente almacenada.
- 4. Utiliza métodos de encriptación para transmitir la información del tarjetahabiente en redes públicas y abiertas.
-
- 5. Protege todos los sistemas contra el software malicioso y actualiza con regularidad el software o los programas de antivirus.
- 6. Desarrolla sistemas y aplicaciones seguras y realiza el mantenimiento correspondiente.
-
- 7. Restringe el acceso a la información del tarjetahabiente sobre la base de la necesidad de conocer dicha información.
- 8. Utiliza métodos de identificación y autenticación para acceder a los componentes del sistema.
- 9. Restringe el acceso físico a la información del tarjetahabiente.
-
- 10. Supervisa y monitorea todo el acceso a los recursos de la red y a la información del tarjetahabiente.
- 11. Prueba con regularidad los sistemas y procesos de seguridad.
-
- 12. Implementa una política que contemple la seguridad de la información de todo el personal.
-
Todos los años:
- Presenta un Informe de cumplimiento ("ROC") redactado por un asesor de seguridad capacitado ("QSA") o un auditor interno si lleva la firma de un ejecutivo de la compañía. Es recomendable que el auditor interno obtenga la certificación del asesor de seguridad interno ("ISA") respecto de los SSC de PCI.
- Presenta un formulario de certificación de cumplimiento ("AOC").
Todos los trimestres:
- Realiza un escaneo trimestral de la red mediante un proveedor de escaneo aprobado ("ASV").
-
Todos los años:
- Completa un cuestionario de autoevaluación ("SAQ").
- Presenta un formulario de certificación de cumplimiento ("AOC").
Todos los trimestres:
- Realiza un escaneo trimestral de la red mediante un proveedor de escaneo aprobado ("ASV").
-
Todos los años:
- Completa un cuestionario de autoevaluación ("SAQ").
- Presenta un formulario de certificación de cumplimiento ("AOC").
Todos los trimestres:
- Realiza un escaneo trimestral de la red mediante un proveedor de escaneo aprobado ("ASV").
-
Todos los años:
- Completa un cuestionario de autoevaluación ("SAQ").
- Presenta un formulario de certificación de cumplimiento ("AOC").
Todos los trimestres:
- Realiza un escaneo trimestral de la red mediante un proveedor de escaneo aprobado ("ASV") (si corresponde).
- Completa un cuestionario de autoevaluación ("SAQ").
Los comercios de EE. UU. que han tomado medidas para ayudar a prevenir el fraude por falsificación invirtiendo en tecnología de chip EMV o que han implementado una solución de encriptación entre puntos validada pueden gozar de los beneficios del Programa de innovación tecnología (TIP) de Visa. Este programa recompensa a los comercios elegibles mediante la eliminación de requisitos para verificar el cumplimiento de los estándares de seguridad de datos de PCI cuando al menos el 75 por ciento de las transacciones anuales se originan en terminales habilitadas para chip EMV de interfaz doble o en una solución de encriptación entre puntos validada.
Obtén información sobre los requisitos
Las normas básicas de Visa (VCR) rigen las actividades de las instituciones financieras cliente y, por lo tanto, las de los comercios y proveedores de servicios como participantes en el sistema de pagos de Visa.
El banco adquirente de un comercio es responsable de garantizar el cumplimiento de los estándares de seguridad de datos (DSS) de PCI por parte del comercio y cualquier otro proveedor de servicios que el comercio utilice. Los comercios deben cumplir plenamente con estos estándares en todo momento. (Identificación de secciones VCR #0002228 y #0008031).
Si un comercio no cumple con los estándares de seguridad de datos de PCI o no rectifica un problema de seguridad, Visa podría aplicar un cargo por incumplimiento al adquirente del comercio. El adquirente es responsable de pagar todos los cargos y no debe alegar que Visa haya impuesto cargos sobre el comercio. (Identificación de sección VCR #0001054)
Es posible obtener una exención del pago del cargo si no hay pruebas de un incumplimiento de los estándares de seguridad de datos de PCI en el momento de la vulneración de datos o, con anterioridad, según se demuestre durante la investigación forense.

Proveedores de servicios
Los proveedores de servicios manejan la información de los tarjetahabientes Visa en representación suya. Tu adquirente garantiza que los proveedores de servicios cumplan con los estándares de seguridad de datos de PCI. La validación de cumplimiento es un requisito para todos los proveedores de servicios.

Programa global de seguridad del PIN
Los comercios que adquieren transacciones con PIN o se prestan a sí mismos servicios de gestión de claves deben cumplir con los requisitos de seguridad del PIN de Visa.
Utiliza el enlace que aparece a continuación para obtener más información sobre el Programa global de seguridad del PIN de Visa:
Prevención de substracción de ganancias: Mejores prácticas para comercios
Obtén más información sobre cómo sumarte al Programa de integradores y revendedores calificados (QIR)
El programa de capacitación y calificación de integradores & y revendedores calificados (QIR)™ de PCI ofrece capacitación y herramientas para garantizar una instalación segura de los sistemas de pago de tu comercio validada según los estándares de seguridad de datos de las aplicaciones de pago. Al convertirse en QIR, los comercios podrán usar tus servicios para cumplir con los requisitos establecidos por las marcas de pago.
Cómo sumarse al Programa de integradores y revendedores calificados
Beneficios de los integradores y revendedores calificados de PCI que recibieron la capacitación

Busca más información sobre cómo proteger tu negocio.
Cybercriminals Targeting Point of Sale Integrators (Ciberdelincuentes que apuntan a los integradores de puntos de venta) (PDF, 984 KB)
Effectively Managing Data Breaches (Cómo gestionar con eficacia vulneraciones de datos) (PDF, 984 KB)
5 Important Visa Rules That Every Merchant Should Know (Cinco normas importantes de Visa que todo comercio debe conocer) (PDF, 587 KB)
Payment Application Security Mandates (Mandatos de seguridad de las aplicaciones de pago) (PDF, 61 K)