¿Qué es PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de requisitos de seguridad establecidos por el PCI Security Standards Council para proteger los datos de los titulares de tarjetas y garantizar que todas las organizaciones que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.
También conocido como: PCI DSS, Payment Card Industry Data Security Standard, PCI compliance
PCI DSS define 12 requisitos básicos organizados en seis categorías: construir y mantener una red segura, proteger los datos de los titulares de tarjetas, mantener un programa de gestión de vulnerabilidades, implementar medidas sólidas de control de acceso, monitorizar y probar las redes con regularidad, y mantener una política de seguridad de la información. El estándar se aplica a toda entidad implicada en el procesamiento de tarjetas de pago: comercios, procesadores, adquirentes, emisores y proveedores de servicios.
Los requisitos 3 y 4 son especialmente relevantes para el cifrado: el Requisito 3 obliga a proteger los datos almacenados de los titulares de tarjetas (con métodos específicos de cifrado, hashing y truncamiento), mientras que el Requisito 4 exige cifrar los datos de los titulares de tarjetas durante su transmisión por redes abiertas y públicas. El Requisito 7 impone el acceso de mínimo privilegio, y el Requisito 8 obliga a la identificación única y la autenticación sólida para todo acceso a los sistemas. El cumplimiento se valida mediante cuestionarios de autoevaluación o auditorías presenciales, según el volumen de transacciones.
El cumplimiento de PCI DSS se extiende más allá del propio entorno de datos de los titulares de tarjetas (CDE) a cualquier sistema que pudiera afectar a la seguridad del CDE. Esto incluye cómo se gestionan y comparten las credenciales de los sistemas de pago. Compartir contraseñas de bases de datos o claves de API para sistemas de procesamiento de pagos por correo o canales sin cifrar viola el espíritu —y a menudo la letra— de los requisitos de PCI DSS sobre controles de acceso sólidos y cifrado.
Cómo usa Vaulted PCI DSS
Vaulted respalda el cumplimiento de PCI DSS proporcionando un canal cifrado y efímero para compartir credenciales relacionadas con los sistemas de pago y los entornos de datos de los titulares de tarjetas. Cuando los equipos necesitan compartir credenciales de bases de datos, claves de API de pasarelas de pago o tokens de acceso para sistemas dentro del alcance de PCI, Vaulted garantiza que los datos se cifren del lado del cliente con AES-256-GCM antes de su transmisión y se eliminen automáticamente tras su uso. Esto se alinea con el Requisito 4 de PCI DSS (cifrar los datos en tránsito) y el Requisito 7 (restringir el acceso según la necesidad de conocer) al reemplazar los secretos persistentes en texto plano del correo por enlaces autodestructivos y de conocimiento cero.