Cada vez que un cliente entrega los datos de su tarjeta en tu sitio, esa información viaja por internet, se procesa en servidores, se guarda en logs y eventualmente llega a la red de la franquicia. PCI-DSS es el conjunto de reglas que define cómo todos los actores de esa cadena — incluyendo tu pasarela de pagos — deben proteger esos datos.
Qué significa la sigla
Payment Card Industry Data Security Standard. Fue creado por las cinco grandes franquicias (Visa, Mastercard, American Express, Diners y JCB) y lo administra un consejo independiente, el PCI Security Standards Council. Es un estándar de cumplimiento obligatorio para cualquier empresa que almacene, procese o transmita datos de tarjetas.
Las doce reglas, en resumen
- Instalar y mantener un firewall que proteja los datos de los titulares.
- No usar contraseñas y configuraciones por defecto que vienen de fábrica.
- Proteger los datos almacenados de los titulares de tarjeta.
- Cifrar la transmisión de esos datos cuando viajan por redes públicas.
- Proteger los sistemas con antivirus y software actualizado.
- Desarrollar y mantener sistemas y aplicaciones seguras.
- Restringir el acceso a la información solo a quienes la necesitan.
- Identificar y autenticar a cada persona que accede al sistema.
- Restringir el acceso físico a la información del titular de tarjeta.
- Monitorear y auditar todos los accesos a los recursos de red y datos.
- Probar regularmente los sistemas y procesos de seguridad.
- Mantener una política de seguridad de la información para todo el personal.
Por qué importa para tu negocio
Si tu pasarela no cumple PCI-DSS y hay una filtración, la responsabilidad puede caer sobre ti como comerciante. Las franquicias pueden bloquearte la aceptación, los bancos pueden suspender el contrato y las multas oscilan entre cinco mil y cien mil dólares por incidente, dependiendo del nivel.
La buena noticia: si trabajas con un proveedor certificado, la mayor parte del trabajo ya está hecho. Tu obligación se reduce a no manejar datos de tarjeta directamente en tu propio servidor — eso queda en la pasarela, que asume el peso del cumplimiento.
Más allá del checkbox
PCI-DSS no es un trámite que se hace una vez. La certificación se renueva cada año, incluye auditorías de un QSA (Qualified Security Assessor) externo y pruebas de penetración periódicas. Cuando ves el sello en el pie de página de tu pasarela, estás viendo el resultado de un trabajo constante — el que te permite cobrar tranquilo y dormir mejor.


