Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Centro de seguridad en Internet
Total de pruebas:
485,773,462
Esta semana:
737,046
Hoy:
130,956
ImmuniWebCumplimientoCumplimiento de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)

PCI DSS Compliance

PCI DSS 4.0.1 requires organizations that handle cardholder data to develop software securely and test it regularly. Learn how ImmuniWeb helps you meet Requirements 6 and 11.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)
Descargo de responsabilidad: No constituye asesoramiento legal. The Payment Card Industry Data Security Standard (PCI DSS) is the global security standard for protecting payment card data, published by the PCI Security Standards Council (PCI SSC). The current version, v4.0.1, was published on 11 June 2024; v4.0 was retired on 31 December 2024, and the future-dated requirements became mandatory on 31 March 2025 — so all assessments in 2026 are against v4.0.1. The official documents are on the PCI SSC website.
Rellene los campos resaltados en rojo a continuación.

Talk to a Specialist about
Payment Card Industry Data Security Standard (PCI DSS) Compliance

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)

What Is PCI DSS?

PCI DSS defines technical and operational requirements to protect cardholder data (CHD) and sensitive authentication data wherever it is stored, processed or transmitted. Its 12 requirements are grouped into six control objectives covering network security, data protection, vulnerability management, access control, monitoring and security policy.

Version 4.0 marked a shift in philosophy: security is treated as a continuous, business-as-usual process rather than an annual event. Organizations validate compliance through a Self-Assessment Questionnaire (SAQ) or a Report on Compliance (ROC), and define their cardholder data environment (CDE) as the scope of assessment.

Vea cómo ImmuniWeb le ayuda a cumplir con los Requisitos 6 y 11 de PCI DSS: desarrollo seguro y pruebas periódicas de sus aplicaciones de pago. Solicite una demostración · o ejecute una prueba gratuita de la Community Edition.

Who Must Comply with PCI DSS?

PCI DSS applies to every organization in the payment chain:

  • Comerciantes de cualquier tamaño que acepten tarjetas de pago (el nivel de validación depende del volumen de transacciones).
  • Service providers that store, process or transmit cardholder data on behalf of others.
  • Any entity whose systems could impact the security of the cardholder data environment (CDE).

Public-facing web applications and payment pages are squarely in scope and must be protected and tested.

Presentación corporativa [PDF]

Key PCI DSS Requirements for Application Security

Two of the twelve requirements drive most application-security work:

  • Requirement 6 — Develop and maintain secure systems and software: secure software development, timely patching, identifying and managing vulnerabilities, and protecting public-facing web applications against attacks (including payment-page script controls in 6.4.3).
  • Requirement 11 — Test security of systems and networks regularly: internal and external vulnerability scans (11.3) and internal and external penetration testing (11.4) at least annually and after significant changes, plus payment-page change detection (11.6).

Requisitos de seguridad del PCI DSS en profundidad

Requisito 6 — Sistemas y software seguros

Requirement 6 expects a secure software development life cycle: software developed following secure coding practices, vulnerabilities identified and risk-ranked, and public-facing web applications protected against the OWASP Top 10. Sub-requirement 6.4.3 adds controls over scripts loaded on payment pages to counter web-skimming (Magecart) attacks.

Requirement 11 — Regular Security Testing

El Requisito 11 exige escaneos regulares de vulnerabilidades (11.3) y pruebas de penetración (11.4) —internas y externas, al menos anualmente y tras cambios significativos—, con los hallazgos explotables corregidos y la repetición de las pruebas para verificar las correcciones.

Riesgos comunes en aplicaciones web y móviles a abordar

Payment applications are a prime target. The web vulnerabilities PCI DSS expects you to prevent and test for map closely to the OWASP Top 10:

  • Broken Access Control — users reaching data or actions they should not.
  • Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
  • Inyección — Inyección SQL, de comandos u otras mediante entradas no validadas.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Security Misconfiguration — default, incomplete or unsafe configuration.
  • Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — the server tricked into making malicious requests.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Presentación corporativa [PDF]

Cómo abordar la seguridad de las aplicaciones PCI DSS con ImmuniWeb

  1. Scope the CDE.Map internet-facing applications, payment pages and APIs in scope with ImmuniWeb Discovery.
  2. Desarrollar de forma segura (Req 6). Utilice Neuron y Continuous para encontrar y corregir vulnerabilidades en todo el SDLC.
  3. Penetration test (Req 11.4) web and mobile applications with On-Demand and MobileSuite — at least annually and after significant changes.
  4. Vulnerability scan (Req 11.3)regularly with Neuron.
  5. Remediate and retest with clear, zero-false-positive reports suitable for your QSA/ROC or SAQ.
  6. Keep testing continuously with Continuous to satisfy v4.0.1's business-as-usual model.

How ImmuniWeb Helps You Achieve PCI DSS Compliance

ImmuniWeb apoya los requisitos de seguridad de aplicaciones de PCI DSS mediante pruebas de penetración y análisis que generan evidencia lista para la evaluación.

Requisito Lo que requiere Productos ImmuniWeb
Req 6.2 / 6.3 Develop software securely; identify and manage vulnerabilities. On-Demand, Neuron, Continuous
Req 6.4 Protect public-facing web applications against attacks. On-Demand, Neuron, Continuous
Req 11.3 Internal and external vulnerability scanning. Neuron, Discovery
Req 11.4 Internal and external penetration testing. On-Demand, MobileSuite

ImmuniWeb On-Demand ofrece pruebas de penetración manuales de aplicaciones web aptas para el cumplimiento normativo; MobileSuite cubre las aplicaciones móviles; Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque externa para mantener preciso el alcance de la CDE.

PCI DSS y los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
PCI DSS 4.0.1 Req 6 (secure dev) y Req 11 (testing) Web/mobile pentest + vulnerability scanning
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles
NIST CSF 2.0 funciones Protect / Detect Pruebas y monitoreo de aplicaciones
OWASP ASVS Niveles de verificación para aplicaciones web Pruebas alineadas con los requisitos de ASVS
Presentación corporativa [PDF]

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Cardholder data environment (CDE) scoped, including web/payment pages
  • Secure SDLC in place (Requirement 6)
  • Public-facing web apps protected and tested
  • Escaneos de vulnerabilidades realizados regularmente (Req 11.3)
  • Penetration testing at least annually and after significant changes (Req 11.4)
  • Payment-page script and change controls (6.4.3 / 11.6)
  • Findings remediated and re-tested; evidence retained for assessment

Why PCI DSS Compliance Matters

La norma PCI DSS se aplica contractualmente mediante las marcas de tarjetas de pago y los bancos adquirentes. El incumplimiento puede significar multas mensuales, tarifas de transacción más altas y, tras un breach, una responsabilidad significativa e incluso la pérdida de la capacidad de procesar pagos con tarjeta.

Web-skimming y los ataques a aplicaciones contra páginas de pago siguen siendo una causa principal de brechas de datos de titulares de tarjetas, por lo que los Requirements 6 y 11 ponen las pruebas de aplicaciones en primer plano.

Presentación corporativa [PDF]

Preguntas frecuentes

  • P
    What is PCI DSS?
    A
    La Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), un estándar global del PCI SSC para proteger los datos de tarjetas de pago, compuesto por 12 requisitos.
  • P
    ¿Cuál es la versión actual de PCI DSS?
    A
    v4.0.1, publicada el 11 de junio de 2024; ha sido la única versión activa desde que la v4.0 se retiró el 31 de diciembre de 2024, con nuevos requisitos obligatorios desde el 31 de marzo de 2025.
  • P
    Who must comply with PCI DSS?
    A
    Any organization that stores, processes or transmits cardholder data — merchants and service providers of all sizes.
  • P
    What do Requirements 6 and 11 require?
    A
    Requirement 6 requires secure development and vulnerability management; Requirement 11 requires regular vulnerability scanning and penetration testing.
  • P
    Does PCI DSS require penetration testing?
    A
    Yes — Requirement 11.4 requires internal and external penetration testing at least annually and after significant changes.
  • P
    How does ImmuniWeb help with PCI DSS?
    A
    Through web and mobile application penetration testing and scanning that evidence Requirements 6 and 11, plus attack-surface mapping to keep CDE scope accurate.
  • P
    What are the penalties for non-compliance?
    A
    Contractual fines from card brands and acquirers, increased fees, and breach liability — potentially including suspension of card-processing privileges.
Rellene los campos resaltados en rojo a continuación.

Talk to a Specialist about
Payment Card Industry Data Security Standard (PCI DSS) Compliance

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Este sitio web utiliza cookies para ofrecerle una mejor experiencia de navegación. Para obtener más información, visite nuestra Política de privacidad. Al continuar utilizando este sitio web, usted acepta el uso de cookies.

Hable con un experto