PCI DSS Compliance
La norma PCI DSS 4.0.1 exige a las organizaciones que manejan datos de titulares de tarjetas que desarrollen software de forma segura y lo prueben periódicamente. Descubre cómo ImmuniWeb te ayuda a cumplir con los Requisitos 6 y 11.
Cumplimiento de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)
¿Qué es PCI DSS?
PCI DSS establece los requisitos técnicos y operativos para proteger los datos de los titulares de tarjetas y los datos de autenticación sensibles, donde sea que se almacenen, procesen o transmitan. Sus 12 requisitos se agrupan en seis objetivos de control que cubren la seguridad de la red, la protección de datos, la gestión de vulnerabilidades, el control de acceso, el monitoreo y la política de seguridad.
La versión 4.0 marcó un cambio de filosofía: la seguridad se trata como un proceso continuo y habitual, en lugar de como un evento anual. Las organizaciones validan el cumplimiento mediante un Cuestionario de Autoevaluación (SAQ) o un Informe de Cumplimiento (ROC), y definen su entorno de datos de los titulares de tarjetas (CDE) como el ámbito de la evaluación.
Vea cómo ImmuniWeb le ayuda a cumplir con los Requisitos 6 y 11 de PCI DSS: desarrollo seguro y pruebas periódicas de sus aplicaciones de pago. Solicite una demostración · o ejecute una prueba gratuita de la Community Edition.
¿Quién debe cumplir con PCI DSS?
PCI DSS applies to every organization in the payment chain:
- Comerciantes de cualquier tamaño que acepten tarjetas de pago (el nivel de validación depende del volumen de transacciones).
- Service providers that store, process or transmit cardholder data on behalf of others.
- Cualquier entidad cuyos sistemas puedan afectar la seguridad del entorno de datos del titular de la tarjeta (CDE).
Las aplicaciones web públicas y las páginas de pago están claramente dentro del alcance y deben protegerse y someterse a pruebas.
Requisitos clave de PCI DSS para la seguridad de aplicaciones
Dos de los doce requisitos impulsan la mayor parte del trabajo de seguridad de aplicaciones:
- Requisito 6 — Desarrollar y mantener sistemas y software seguros: desarrollo seguro de software, aplicación oportuna de parches, identificación y gestión de vulnerabilidades, y protección de las aplicaciones web de acceso público frente a ataques (incluidos los controles de scripts en las páginas de pago, según el punto 6.4.3).
- Requisito 11 — Probar regularmente la seguridad de los sistemas y las redes: escaneos de vulnerabilidades internos y externos (11.3) y pruebas de penetración internas y externas (11.4) al menos una vez al año y tras cambios significativos, además de la detección de cambios en las páginas de pago (11.6).
Requisitos de seguridad del PCI DSS en profundidad
Requisito 6 — Sistemas y software seguros
El requisito 6 exige un ciclo de vida de desarrollo de software seguro: software desarrollado siguiendo prácticas de codificación seguras, vulnerabilidades identificadas y clasificadas por riesgo, y aplicaciones web de acceso público protegidas contra OWASP Top 10. El subrequisito 6.4.3 añade controles sobre los scripts cargados en las páginas de pago para contrarrestar los ataques de web-skimming (Magecart).
Requisito 11 — Pruebas de seguridad periódicas
El Requisito 11 exige escaneos regulares de vulnerabilidades (11.3) y pruebas de penetración (11.4) —internas y externas, al menos anualmente y tras cambios significativos—, con los hallazgos explotables corregidos y la repetición de las pruebas para verificar las correcciones.
Riesgos comunes en aplicaciones web y móviles a abordar
Las aplicaciones de pago son un objetivo principal. Las vulnerabilidades web que PCI DSS espera que prevenga y verifique se corresponden estrechamente con el OWASP Top 10:
- Control de acceso defectuoso: los usuarios acceden a datos o acciones a las que no deberían.
- Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
- Inyección — Inyección SQL, de comandos u otras mediante entradas no validadas.
- Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
- Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
- Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
- Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
- Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
- Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
Cómo abordar la seguridad de las aplicaciones PCI DSS con ImmuniWeb
- Delimitar el alcance del CDE. Mapee las aplicaciones orientadas a Internet, las páginas de pago y las API dentro del alcance con ImmuniWeb Discovery.
- Desarrollar de forma segura (Req 6). Utilice Neuron y Continuous para encontrar y corregir vulnerabilidades en todo el SDLC.
- Penetration test (Req 11.4) web and mobile applications with On-Demand and MobileSuite — at least annually and after significant changes.
- Escaneo de vulnerabilidades (Req 11.3) regularmente con Neuron.
- Corrija y vuelva a probar con informes claros y sin falsos positivos, adecuados para su QSA/ROC o SAQ.
- Mantenga las pruebas de forma continua con Continuous para cumplir con el modelo de operaciones normales de la v4.0.1.
How ImmuniWeb Helps You Achieve PCI DSS Compliance
ImmuniWeb apoya los requisitos de seguridad de aplicaciones de PCI DSS mediante pruebas de penetración y análisis que generan evidencia lista para la evaluación.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Req 6.2 / 6.3 | Desarrollar software de forma segura; identificar y gestionar vulnerabilidades. | On-Demand, Neuron, Continuous |
| Requisito 6.4 | Protege las aplicaciones web de acceso público contra ataques. | On-Demand, Neuron, Continuous |
| Req 11.3 | Escaneo interno y externo de vulnerabilidades. | Neuron, Discovery |
| Req 11.4 | Pruebas de penetración internas y externas. | On-Demand, MobileSuite |
ImmuniWeb On-Demand ofrece pruebas de penetración manuales de aplicaciones web aptas para el cumplimiento normativo; MobileSuite cubre las aplicaciones móviles; Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque externa para mantener preciso el alcance de la CDE.
PCI DSS y los marcos internacionales
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| PCI DSS 4.0.1 | Req 6 (secure dev) y Req 11 (testing) | Pruebas de penetración web y móvil + análisis de vulnerabilidades |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
| NIST CSF 2.0 | funciones Protect / Detect | Pruebas y monitoreo de aplicaciones |
| OWASP ASVS | Niveles de verificación para aplicaciones web | Pruebas alineadas con los requisitos de ASVS |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- Cardholder data environment (CDE) scoped, including web/payment pages
- SDLC seguro implementado (Requisito 6)
- Aplicaciones web públicas protegidas y evaluadas
- Escaneos de vulnerabilidades realizados regularmente (Req 11.3)
- Penetration testing at least annually and after significant changes (Req 11.4)
- Controles de scripts y cambios en las páginas de pago (6.4.3 / 11.6)
- Los hallazgos se remedian y se vuelven a probar; se conserva la evidencia para la evaluación
Por qué importa el cumplimiento de PCI DSS
La norma PCI DSS se aplica contractualmente mediante las marcas de tarjetas de pago y los bancos adquirentes. El incumplimiento puede significar multas mensuales, tarifas de transacción más altas y, tras un breach, una responsabilidad significativa e incluso la pérdida de la capacidad de procesar pagos con tarjeta.
Web-skimming y los ataques a aplicaciones contra páginas de pago siguen siendo una causa principal de brechas de datos de titulares de tarjetas, por lo que los Requirements 6 y 11 ponen las pruebas de aplicaciones en primer plano.