Introducción al estándar PCI DSS.

Origen y objetivo del PCI DSS.

El Payment Card Industry Data Security Standard (PCI DSS) fue creado por el PCI Security Standards Council (PCI SSC) en 2006 para establecer un marco de seguridad que ayude a las organizaciones a proteger los datos de los titulares de tarjetas de pago. Este estándar se ha convertido en un referente a nivel global en la seguridad de datos financieros, pues define una serie de medidas técnicas y operacionales que buscan prevenir accesos no autorizados y fraudes en los sistemas de procesamiento de pagos.

PCI DSS cubre tanto aspectos técnicos como prácticos y busca fortalecer la protección de los datos de pago en todos los niveles, desde pequeñas empresas hasta grandes instituciones financieras. Su implementación es esencial para cualquier entidad que maneje información de tarjetas de pago, como comerciantes, procesadores de pagos, emisores de tarjetas y proveedores de servicios. No cumplir con PCI DSS puede resultar en sanciones, pérdida de reputación y la posibilidad de que la entidad pierda su capacidad de procesar pagos con tarjetas.

Objetivo general: Proporcionar un marco unificado y global para la seguridad de los datos de tarjetas de pago, reduciendo así el riesgo de fraudes financieros y protegiendo la confianza del consumidor en el sistema de pagos electrónicos.

Alcance y aplicación de PCI DSS.

El PCI DSS es aplicable a cualquier entidad que almacene, procese o transmita datos de titulares de tarjetas, incluyendo el número principal de cuenta o Primary Account Number (PAN) y cualquier otro dato de autenticación sensible. La normativa establece que todas estas entidades deben implementar una serie de controles y requisitos de seguridad que permitan asegurar sus entornos de datos de tarjeta (CDE) contra accesos no autorizados.

Principales aspectos del alcance de PCI DSS.

  1. Entidades afectadas: Comercios, bancos emisores, procesadores de pagos, proveedores de servicios y cualquier organización que administre datos de tarjetas.
  2. Datos protegidos: Además del PAN, los datos incluyen el nombre del titular de la tarjeta, la fecha de expiración y el código de servicio, entre otros. Los datos de autenticación sensible, como códigos CVV o PIN, tienen prohibida su retención después de la autorización de la transacción.
  3. Responsabilidad de cumplimiento: Aunque una entidad subcontrate sus operaciones de pago o de infraestructura, sigue siendo responsable de asegurar que el proveedor de servicios cumpla con los requisitos de PCI DSS y que los datos de los titulares de tarjetas estén protegidos.

El cumplimiento de PCI DSS es esencial para las organizaciones, ya que su incumplimiento puede resultar en sanciones severas. Además, este estándar se actualiza periódicamente para adaptarse a las nuevas amenazas en ciberseguridad, garantizando así que las prácticas de seguridad sean efectivas en un entorno cambiante.

Nota Importante: La seguridad en el manejo de datos de tarjetas es un esfuerzo compartido. Aunque se contraten terceros, la entidad original conserva la responsabilidad sobre la seguridad y el cumplimiento de PCI DSS en su infraestructura.

Evolución de las versiones de PCI DSS.

Desde su lanzamiento inicial, PCI DSS ha pasado por múltiples actualizaciones, cada una adaptada para reflejar las mejores prácticas en seguridad y responder a los desafíos emergentes en la protección de datos. A continuación, se resumen las versiones más importantes hasta la fecha:

  • Versión 3.2.1 (2018): Esta versión estableció las bases de los requisitos de seguridad actuales, incluyendo la segmentación de red, la autenticación multifactor y la gestión de vulnerabilidades. Fue la versión estándar hasta el lanzamiento de la versión 4.0 en 2022.
  • Versión 4.0 (2022): PCI DSS v4.0 introdujo cambios significativos en respuesta a las nuevas tecnologías y prácticas de ciberseguridad, ajustando requisitos para reflejar avances en áreas como autenticación, cifrado y control de acceso.
  • Versión 4.0.1 (junio de 2024): En esta actualización menor se realizaron revisiones de formato y tipografía, además de algunas aclaraciones clave para facilitar la implementación del estándar sin modificar los requisitos. Los cambios en esta versión reflejan la retroalimentación de las entidades que implementan PCI DSS, mejorando así su aplicabilidad práctica.

Principales cambios en PCI DSS v4.0.1

Algunos de los ajustes introducidos en la versión 4.0.1 buscan simplificar la aplicación de ciertos controles de seguridad, especialmente en áreas como el cifrado y la autenticación. Entre los cambios más destacados, se incluyen:

  1. Cifrado de datos en discos: Aclaración sobre los requisitos de cifrado en discos para proteger datos del PAN.
  2. Actualización de parches de seguridad: En lugar de requerir la actualización de todos los parches críticos y de alta prioridad dentro de un mes, se vuelve al criterio de la versión 3.2.1, que solo exige la actualización de los parches críticos en ese plazo.
  3. Monitorización de scripts: Se amplía la responsabilidad de monitorización a los proveedores de contenido incrustado en las páginas de pago.

Estos cambios son una respuesta a la evolución constante de las amenazas y a los desafíos encontrados durante la implementación de PCI DSS en las organizaciones. La actualización 4.0.1 se encuentra disponible para descarga en el sitio web oficial del PCI Security Standards Council, y se recomienda a todas las organizaciones que revisen los documentos y ajusten sus controles de seguridad de acuerdo con las nuevas directrices.

Estructura del estándar PCI DSS.

El PCI DSS se organiza en seis categorías generales que agrupan los 12 requisitos básicos. Estos requisitos cubren desde la implementación de redes seguras hasta el monitoreo y la política de seguridad, proporcionando así un marco integral de protección para los datos de tarjetas de pago.

  1. Construir y mantener una red segura y sistemas seguros.
    • Requerimiento 1: Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas.
    • Requerimiento 2: No utilizar configuraciones y contraseñas predeterminadas de fábrica en sistemas de seguridad.
  2. Proteger los datos del titular de la tarjeta.
    • Requerimiento 3: Proteger los datos almacenados del titular de la tarjeta.
    • Requerimiento 4: Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas.
  3. Mantener un programa de gestión de vulnerabilidades.
    • Requerimiento 5: Proteger todos los sistemas contra malware y actualizar regularmente el software antivirus.
    • Requerimiento 6: Desarrollar y mantener aplicaciones y sistemas seguros.
  4. Implementar medidas de control de acceso estricto.
    • Requerimiento 7: Restringir el acceso a los datos de los titulares de tarjetas en función de la necesidad de conocimiento del negocio.
    • Requerimiento 8: Identificar y autenticar el acceso a los componentes del sistema.
    • Requerimiento 9: Restringir el acceso físico a los datos de los titulares de tarjetas.
  5. Monitorear y probar regularmente las redes.
    • Requerimiento 10: Rastrear y monitorear todos los accesos a los recursos de red y a los datos de los titulares de tarjetas.
    • Requerimiento 11: Probar regularmente los sistemas y los procesos de seguridad.
  6. Mantener una política de seguridad de la Información.
    • Requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal.

Beneficios de cumplir con PCI DSS.

Cumplir con los estándares de PCI DSS no solo protege a las organizaciones de posibles sanciones y vulnerabilidades, sino que también contribuye a la confianza de los clientes y socios en la seguridad de sus transacciones. Las principales ventajas de implementar PCI DSS incluyen:

  • Protección de la reputación: Un entorno seguro reduce el riesgo de incidentes de seguridad y posibles daños a la reputación.
  • Reducción de riesgo de multas: El cumplimiento previene sanciones financieras que pueden imponerse por no proteger adecuadamente los datos de los titulares de tarjetas.
  • Confianza de los clientes: Las organizaciones que cumplen con PCI DSS muestran un compromiso con la seguridad, generando así confianza en sus clientes y proveedores.

Construcción y mantenimiento de redes y sistemas seguros.

Requerimiento 1: configuración de firewalls.

El primer requisito del estándar PCI DSS se centra en la configuración de firewalls para proteger los datos de los titulares de tarjetas de pago. Un firewall actúa como una barrera que controla el tráfico de red entre los sistemas internos de una organización y redes externas no confiables, como internet. Los firewalls aseguran que solo el tráfico autorizado y seguro pueda acceder al entorno de datos de titulares de tarjetas (Cardholder Data Environment, o CDE).

Objetivos del requerimiento 1

  • Prevenir accesos no autorizados: Los firewalls bloquean el tráfico entrante no autorizado y reducen el riesgo de ataques de red.
  • Segregar los entornos de red: Asegurar que el CDE esté separado de otras redes internas mediante una zona desmilitarizada (DMZ) y reglas de acceso.
  • Mantener reglas y configuraciones seguras: Requiere que las reglas de firewall y configuraciones de routers se revisen regularmente para adaptarse a los cambios en el entorno.

Configuración de Firewall y reglas de acceso.

PCI DSS especifica que deben implementarse firewalls en todos los puntos de entrada y salida de la red y en todos los enlaces a redes externas. Cada conexión de red debe configurarse de manera que bloquee el tráfico no necesario y permita solo el tráfico autorizado.

Monitoreo y evaluación continua.

La seguridad de una red depende en gran medida de la administración activa y constante del firewall. PCI DSS requiere que las organizaciones revisen sus configuraciones de firewall al menos cada seis meses, lo cual implica auditar las reglas para asegurarse de que solo el tráfico necesario esté permitido y que las configuraciones se mantengan actualizadas.

Nota: Es recomendable documentar todas las configuraciones y actualizaciones realizadas en los firewalls y routers, manteniendo registros detallados que se puedan auditar fácilmente.

Requerimiento 2: eliminación de configuraciones predeterminadas de los proveedores.

Un aspecto clave en la seguridad de cualquier sistema es evitar el uso de configuraciones predeterminadas proporcionadas por los fabricantes, ya que estas son ampliamente conocidas y pueden ser explotadas por atacantes. PCI DSS requiere que las organizaciones eliminen o cambien todos los ajustes predeterminados, como nombres de usuario y contraseñas, antes de instalar un sistema en la red.

Proceso de configuración segura.

El estándar especifica que, al implementar cualquier sistema en el CDE, las configuraciones y credenciales predeterminadas deben ser reemplazadas por configuraciones seguras. Esto incluye contraseñas robustas, limitación de acceso y eliminación de cuentas o servicios innecesarios.

  1. Cambio de contraseñas predeterminadas: Cada sistema debe tener contraseñas únicas y fuertes que cumplan con las políticas de seguridad de la organización.
  2. Eliminación de servicios no necesarios: Desactivar o eliminar servicios que no son esenciales reduce la superficie de ataque de los sistemas.
  3. Segmentación de funciones: PCI DSS recomienda evitar combinar funciones con diferentes niveles de seguridad en el mismo sistema, como bases de datos y servidores web.

Roles y responsabilidades en la gestión de configuraciones.

Para garantizar que las configuraciones predeterminadas no se utilicen, es fundamental asignar roles y responsabilidades claras dentro del equipo de IT. Todo cambio en la configuración debe ser aprobado y documentado para garantizar una administración eficaz de la seguridad.

Actualización en PCI DSS v4.0.1 – Cifrado de datos en discos (requerimiento 3.5.1.2)

Con la introducción de PCI DSS v4.0.1, se ha aclarado que cualquier método de cifrado que permita visualizar el PAN (número de cuenta principal) en texto claro sin la intervención de un usuario autorizado debe ser evaluado y complementado con mecanismos de seguridad adicionales. Esto incluye métodos de cifrado como Transparent Data Encryption (TDE), que pueden permitir el acceso automático a datos en texto claro durante el inicio de un sistema.

Implementación del cifrado de disco.

Para las organizaciones que implementen TDE u otros métodos de cifrado de disco, se requiere revisar estos controles y considerar la implementación de métodos adicionales de protección de datos en reposo, como:

  • Mecanismos de control de acceso: Asegurarse de que solo usuarios autorizados puedan acceder a los datos desencriptados.
  • Auditoría y registro de acceso: Monitorear los accesos a los datos cifrados y generar registros de auditoría.
  • Autenticación de dos factores: Para sistemas que permiten el acceso directo al PAN, se recomienda el uso de autenticación multifactor (MFA) para prevenir accesos no autorizados.

Protección de los datos del titular de la tarjeta.

Requerimiento 3: protección de datos almacenados.

Uno de los principios fundamentales del estándar PCI DSS es proteger los datos del titular de la tarjeta durante su almacenamiento. Las entidades que manejan datos de tarjetas de pago deben implementar controles de cifrado y enmascaramiento para evitar accesos no autorizados y reducir el riesgo de exposición en caso de una intrusión en el sistema.

Objetivos del requerimiento 3.

  • Mantener la confidencialidad del PAN y otros datos sensibles: Garantizar que los datos confidenciales, como el PAN y otros elementos del titular de la tarjeta, estén protegidos de manera que no sean legibles ni accesibles para personas no autorizadas.
  • Evitar el almacenamiento de datos no necesarios: PCI DSS prohíbe el almacenamiento de ciertos datos sensibles después de la autorización de la transacción, como los códigos de verificación (CVV, CVC) y los números de identificación personal (PIN).
  • Asegurar el acceso restringido: Solo el personal autorizado debe poder acceder a los datos almacenados, y se debe limitar el acceso basado en la necesidad de conocer.

Encriptación y enmascaramiento de datos.

El estándar establece que el PAN debe estar cifrado cuando se almacena en cualquier sistema o base de datos. Además, recomienda enmascarar el PAN en interfaces y reportes, mostrando solo los primeros y últimos dígitos, mientras que el resto permanece oculto.

Ejemplos de prácticas recomendadas incluyen:

  1. Cifrado de datos en reposo: Los datos almacenados deben encriptarse usando algoritmos de cifrado fuertes como AES o RSA, lo cual asegura que, aunque los datos sean interceptados, no puedan ser descifrados sin la clave de cifrado correspondiente.
  2. Enmascaramiento en interfaces de usuario: Solo los empleados que requieran el acceso completo al PAN deben verlo completo. Para otros, los sistemas deben enmascarar el número, mostrando solo una porción, como los últimos cuatro dígitos.

Gestión de claves de cifrado.

PCI DSS también establece que las claves de cifrado deben gestionarse de manera segura. Esto incluye políticas para la creación, rotación y destrucción de claves, así como el uso de sistemas seguros para su almacenamiento y acceso restringido.

Nota importante: La clave de cifrado debe ser tratada con el mismo nivel de seguridad que los datos que protege. Los accesos a las claves deben ser limitados y monitoreados.

Requerimiento 4: cifrado de datos en tránsito.

La transmisión de datos del titular de la tarjeta a través de redes abiertas y públicas representa uno de los puntos más vulnerables para la seguridad de estos datos. El PCI DSS requiere que todos los datos sensibles de los titulares de tarjetas, como el PAN, sean cifrados durante su transmisión para protegerlos de accesos no autorizados.

Protocolos de cifrado y prácticas seguras.

Los datos en tránsito deben estar protegidos mediante protocolos de cifrado seguros, como Transport Layer Security (TLS) y Secure Sockets Layer (SSL) cuando se transmiten a través de redes públicas. Estos protocolos aseguran que los datos no puedan ser interceptados y leídos durante su transmisión.

  1. Implementación de TLS/SSL: Asegurar que todas las conexiones a través de internet que manejan datos de pago utilicen versiones seguras de TLS (TLS 1.2 o superiores) y eliminar versiones vulnerables como SSL y TLS 1.0.
  2. Certificados digitales: Usar certificados digitales emitidos por autoridades de certificación confiables para establecer conexiones seguras y autenticar servidores.
  3. Pruebas y auditorías periódicas: Verificar regularmente la configuración de las conexiones para asegurar que sigan cumpliendo con los protocolos de seguridad recomendados.

Actualización en PCI DSS v4.0.1 – cifrado de datos en discos y cifrado automático del PAN.

En la versión 4.0.1 del PCI DSS, se ha añadido una aclaración en el Requerimiento 3.5.1.2 sobre el uso de métodos de cifrado que puedan revelar el PAN en texto claro de forma automática cuando el sistema se encuentra en funcionamiento. Esta aclaración se refiere principalmente a métodos de cifrado como Transparent Data Encryption (TDE), que permite acceder al PAN en texto claro automáticamente mientras el sistema está activo, sin intervención directa de un usuario.

Implicaciones del cifrado transparente de datos.

Cuando se utilizan métodos de cifrado como TDE, que descifran los datos automáticamente al momento de usarlos, es fundamental implementar controles adicionales para mitigar el riesgo de exposición:

  • Restricción de acceso: Configurar el sistema de manera que solo el personal autorizado tenga acceso a los datos descifrados.
  • Monitorización de acceso y auditoría: Registrar todos los accesos a los datos y realizar auditorías periódicas para detectar y responder a posibles accesos no autorizados.
  • Controles de autenticación de usuarios: Incluir autenticación multifactor para usuarios que requieran acceso a datos descifrados, asegurando que solo personas autorizadas puedan ver el PAN en texto claro.

Almacenamiento seguro y prohibiciones de PCI DSS.

PCI DSS establece lineamientos claros sobre qué datos pueden y no pueden ser almacenados tras la autorización de una transacción:

  • Datos permitidos: PAN, nombre del titular de la tarjeta, fecha de expiración y código de servicio, siempre que estén cifrados y se implementen controles de acceso adecuados.
  • Datos prohibidos: Cualquier dato de autenticación sensible, como los códigos CVV/CVC, PIN y datos de la banda magnética, tiene estrictamente prohibido su almacenamiento después de la autorización de una transacción. Incluso si se almacenan de forma cifrada, el riesgo de su exposición es inaceptable según PCI DSS.

Normas de eliminación segura de datos.

Es fundamental que las entidades eliminen cualquier dato de autenticación sensible inmediatamente después de la autorización de la transacción. PCI DSS recomienda prácticas de eliminación segura, como el borrado criptográfico, que asegura que los datos no puedan ser recuperados de ninguna manera.

Elementos fundamentales en la seguridad de datos.

Medidas de control de acceso.

El acceso controlado a los datos sensibles es esencial en el cumplimiento de PCI DSS. Esto incluye requerimientos específicos para autenticación de usuarios, control de acceso a sistemas que contienen datos de tarjeta y protección de cuentas contra accesos no autorizados.

Requerimientos de autenticación.

La autenticación robusta es un elemento fundamental para proteger el entorno de datos de titulares de tarjetas (CDE). El estándar requiere que las organizaciones implementen métodos de autenticación sólidos, que incluyen contraseñas seguras y autenticación multifactor (MFA) para sistemas críticos.

  • Contraseñas seguras: Las cuentas de usuario deben tener contraseñas que cumplan con políticas de complejidad, y es importante realizar rotaciones periódicas para reducir el riesgo de acceso no autorizado.
  • Autenticación multifactor (MFA): La autenticación multifactor es obligatoria para usuarios que acceden al CDE, ya que requiere al menos dos factores de autenticación independientes, aumentando así la seguridad.
  • Resistencia a phishing: En la versión 4.0.1, PCI DSS aclara que los métodos de autenticación que protegen contra ataques de phishing deben basarse en criptografía asimétrica o en métodos que eviten la exposición de datos de autenticación, como contraseñas de un solo uso generadas por dispositivos seguros. Esto reduce el riesgo de acceso mediante técnicas de ingeniería social.

Control de acceso a datos de tarjeta.

Las organizaciones deben establecer controles que aseguren que solo el personal autorizado pueda acceder a datos sensibles. Este acceso debe basarse en el principio de «necesidad de conocer» y otorgarse únicamente a aquellos empleados cuyo rol específico lo requiera.

  • Roles y permisos: La segmentación de roles permite limitar el acceso a sistemas críticos, asegurando que solo aquellos que necesiten acceder a los datos puedan hacerlo.
  • Registro de accesos: Es fundamental registrar los accesos a los datos de tarjetas, de manera que puedan revisarse y auditarse en caso de una sospecha de incidente de seguridad.

Monitoreo y pruebas de redes.

El monitoreo continuo y las pruebas de redes son necesarios para detectar actividades sospechosas y garantizar que el entorno de datos esté adecuadamente protegido. PCI DSS especifica varios procesos de seguimiento, auditoría y pruebas de seguridad, los cuales deben realizarse regularmente.

Seguimiento y auditoría de accesos.

Las organizaciones deben rastrear y monitorear todos los accesos a los sistemas críticos para garantizar que solo personal autorizado interactúe con los datos de los titulares de tarjetas.

  • Registros de auditoría: Los registros de auditoría son esenciales para identificar actividades anómalas. PCI DSS requiere que estos registros sean revisados regularmente y retenidos durante un periodo de tiempo adecuado para su análisis.
  • Revisión de cambios: La versión 4.0.1 enfatiza la necesidad de monitorear cualquier cambio en los encabezados HTTP y en el contenido de scripts en páginas de pago. Esto incluye identificar modificaciones que podrían haber sido causadas por atacantes, previniendo el robo de datos mediante scripts maliciosos.

Pruebas de seguridad y establecimiento de línea base.

Para una seguridad efectiva, PCI DSS establece que las organizaciones deben realizar pruebas de penetración y análisis de vulnerabilidades regularmente. Esto incluye la necesidad de definir una «línea base» de actividad de red, lo que permite identificar y responder ante comportamientos inusuales.

  • Pruebas de penetración: Las pruebas de penetración buscan identificar posibles vulnerabilidades antes de que los atacantes las exploten. PCI DSS recomienda que estas pruebas se realicen al menos anualmente o después de cualquier cambio significativo en el entorno de red.
  • Línea base de actividad: Establecer una línea base de comportamiento permite diferenciar entre el tráfico de red normal y cualquier actividad anómala que pueda indicar un incidente de seguridad. Esta línea base facilita la detección y respuesta temprana ante posibles amenazas.

Política de seguridad de la Información.

El establecimiento y mantenimiento de políticas de seguridad claras es otro de los elementos fundamentales de PCI DSS. Estas políticas deben abarcar todos los aspectos de la gestión de seguridad, incluyendo las responsabilidades de los empleados y las expectativas de los proveedores de servicios.

Establecimiento de políticas de seguridad.

Las políticas de seguridad deben estar documentadas y ser conocidas por todos los empleados, desde el nivel ejecutivo hasta los equipos técnicos, garantizando que todos comprendan su rol en la protección de los datos de los titulares de tarjetas.

  • Responsabilidades claras: Cada empleado debe entender su papel y las prácticas que debe seguir para mantener la seguridad. Esto incluye no solo las prácticas de manejo de datos, sino también la respuesta a incidentes y la identificación de posibles amenazas.
  • Capacitación regular: PCI DSS enfatiza la necesidad de capacitaciones regulares para el personal, asegurando que todos conozcan y apliquen las políticas de seguridad en sus actividades diarias.

Responsabilidad de los proveedores.

Las organizaciones deben establecer acuerdos contractuales con los proveedores que manejan datos de tarjetas para asegurar que también cumplen con los requisitos de PCI DSS. Estos contratos deben ser claros y específicos sobre las obligaciones de los proveedores en cuanto a la protección de datos.

  • Acuerdos de responsabilidad: La versión 4.0.1 especifica que los proveedores deben aceptar la responsabilidad de los datos de tarjeta en un acuerdo escrito e independiente. Este acuerdo no puede reemplazarse con declaraciones en el sitio web o políticas generales del proveedor.
  • Evaluación de conformidad de proveedores: Las organizaciones deben realizar evaluaciones periódicas de sus proveedores para garantizar que cumplan con PCI DSS y monitorear sus prácticas de seguridad, especialmente en servicios como alojamiento de aplicaciones o procesamiento de pagos.

El estándar Payment Card Industry Data Security Standard (PCI DSS) proporciona una guía integral para proteger los datos de los titulares de tarjetas y reducir el riesgo de fraudes en el sistema de pagos. A través de sus requisitos, PCI DSS asegura que las organizaciones implementen controles robustos que abarcan desde la construcción de redes seguras hasta la implementación de políticas de seguridad para todo el personal. Cada capítulo de este libro ha explorado los principios clave para cumplir con PCI DSS, detallando aspectos técnicos, operacionales y de gestión de riesgos necesarios para un entorno seguro y en conformidad con el estándar.

La evolución de PCI DSS, con la reciente actualización a la versión 4.0.1, refleja la adaptabilidad del estándar ante nuevos desafíos de seguridad. Estos ajustes, como las aclaraciones sobre cifrado de datos en discos y la ampliación de la responsabilidad de monitorización de scripts en páginas de pago, ayudan a las organizaciones a implementar medidas de seguridad efectivas y a comprender mejor sus obligaciones de cumplimiento.

En última instancia, el cumplimiento de PCI DSS no solo protege a las organizaciones de posibles brechas de seguridad y sanciones, sino que también refuerza la confianza de los clientes y socios comerciales en la seguridad de sus transacciones.

Fuente: PCI Security Standards Council (PCI SSC) – https://www.pcisecuritystandards.org/