Cumplimiento PCI-DSS para fintech: la guía completa (2026)

Ideas clave

!PCI-DSS 12 requirements checklist mapped to control categories

!PCI-DSS compliance scope diagram showing CDE boundaries and segmentation

• PCI-DSS v4.0 es la única versión activa desde marzo de 2024.
• Su nivel de comercio (1–4) define si necesita auditoría QSA o SAQ.
• El tipo de SAQ correcto depende de cómo sus sistemas tocan datos de titular.
• 71 % de empresas con brecha de pago no eran conformes PCI-DSS (Verizon DBIR 2023).
• Multas por incumplimiento: hasta 100.000 USD/mes - además de costes de brecha y cierre del adquirente.
• Ainex mapea escaneos continuos a controles PCI-DSS y acelera las pruebas de auditoría.

Tabla de contenidos

1. Introducción: la brecha que se podía evitar
2. Qué es PCI-DSS
3. Quién debe cumplir
4. Los 4 niveles de comercio
5. Las 12 exigencias
6. Tipos de SAQ
7. PCI-DSS v4.0: cambios
8. Checklist
9. Plazos y costes
10. Fallos frecuentes en fintech
11. Cómo ayuda Ainex
12. FAQ
13. Conclusión

Introduction: The Breach That Didn't Have to Happen

Una startup fintech lanza su producto de pagos. El crecimiento es rápido: 10.000 transacciones en el primer mes, 50.000 en el tercer mes. El equipo avanza rápido. La seguridad está en la hoja de ruta, pero el cumplimiento parece un problema para más adelante: después de la Serie A, después de la adecuación del producto al mercado, después de contratar un equipo de seguridad adecuado.

Tres meses después, un atacante explota una vulnerabilidad no parcheada en el flujo de pagos. Se exponen 50.000 números de tarjetas. Las marcas de tarjetas abren una investigación. Llegan los auditores forenses. El hallazgo: la empresa estaba procesando pagos mientras almacenaba números de cuenta primaria (PAN) sin procesar en archivos de registro de texto sin formato, una violación directa de PCI-DSS.

La marca de la tarjeta les multa con 80.000 dólares al mes. Su procesador de pagos amenaza con cancelar la cuenta comercial. Siguen cartas legales de los titulares de tarjetas afectados.

Costo total del incidente: más de 2 millones de dólares. La startup apenas sobrevive.

Esta historia se desarrolla con sorprendente regularidad. Según el Informe de investigaciones de vulneración de datos de 2023 de Verizon, el 71% de las empresas que sufrieron una vulneración relacionada con pagos no cumplían con PCI-DSS en ese momento. El cumplimiento no es una casilla de verificación: es la base arquitectónica que evita que una sola vulnerabilidad se convierta en un evento existencial.

Esta guía cubre todo lo que un CTO, líder de seguridad o gerente de cumplimiento de fintech necesita saber sobre PCI-DSS en 2026: qué requiere, qué nivel y SAQ se aplica a su negocio, qué cambió en la versión 4.0 y cómo construir una postura de cumplimiento defendible sin descarrilar a su equipo de ingeniería.

What Is PCI-DSS?

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es un conjunto de controles de seguridad requeridos por cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. Fue creado por el PCI Security Standards Council (PCI SSC), un organismo fundado por Visa, Mastercard, American Express, Discover y JCB, para reducir el fraude con tarjetas de pago y proteger a los titulares de tarjetas a nivel mundial.

PCI-DSS se aplica al Entorno de datos de titulares de tarjetas (CDE): cualquier sistema que toque números de tarjetas (PAN), nombres de titulares de tarjetas, fechas de vencimiento o códigos de servicio. Si su infraestructura procesa una transacción de Visa, usted está dentro del alcance.

El estándar no es una ley, es un requisito contractual que se aplica a través de su acuerdo comercial con el banco adquirente y las marcas de tarjetas. Si lo viola, las consecuencias son sanciones financieras, aumento de las tarifas de transacción, auditorías forenses obligatorias y, en última instancia, la pérdida de la capacidad de aceptar pagos con tarjeta.

PCI-DSS v4.0 se convirtió en la única versión activa a partir del 31 de marzo de 2024, reemplazando a la v3.2.1. Todas las evaluaciones, SAQ y trabajos de auditoría ahora hacen referencia a la versión 4.0.

Who Needs PCI-DSS Compliance?

Si su empresa toca los datos del titular de la tarjeta de cualquiera de las siguientes maneras, PCI-DSS se aplica a usted:

• Procesamiento directo de tarjeta: usted recopila los detalles de la tarjeta en su propia página de pago o API
• Orquestación de pagos: usted enruta o transmite datos de tarjetas entre partes
• Emisión de tarjetas: emite tarjetas prepagas, de débito o de crédito
• Carteras digitales y credenciales almacenadas: almacena datos de tarjetas tokenizados o cifrados para facturación recurrente
• Compre ahora y pague después (BNPL): su plataforma financia transacciones en cuentas vinculadas a tarjetas
• Finanzas integradas: ofrece funciones de pago como parte de un producto más amplio

Incluso si utiliza un procesador de terceros como Stripe o Adyen y nunca maneja directamente números de tarjetas sin procesar, todavía está dentro del alcance, solo que en un nivel reducido. La pregunta clave no es si usted almacena datos de tarjetas, sino si sus sistemas son parte del entorno que podría afectar la seguridad de los datos de los titulares de tarjetas.

The 4 PCI-DSS Merchant Levels

Su nivel de comerciante determina el rigor de la validación requerida. Los niveles los establecen las marcas de tarjetas en función del volumen de transacciones anuales.

Nota práctica para nuevas empresas de tecnología financiera: La mayoría de las empresas de tecnología financiera en etapa inicial comienzan en el Nivel 4 o Nivel 3. Sin embargo, si una marca importante de tarjetas lo clasifica como Nivel 1 debido a un incidente de seguridad, independientemente del volumen, se enfrentará a auditorías QSA obligatorias de inmediato. Crear una postura de seguridad limpia desde el principio es mucho más barato que remediarla bajo presión.

The 12 PCI-DSS Requirements

PCI-DSS organiza sus controles en 12 requisitos agrupados en 6 objetivos de seguridad. Esto es lo que significa cada uno para un equipo fintech:

Los requisitos 6 y 11 son donde la mayoría de los equipos de ingeniería de fintech sienten la mayor fricción y donde las herramientas automatizadas proporcionan el retorno de la inversión más claro.

PCI-DSS SAQ Types: Which One Do You Need?

El Cuestionario de Autoevaluación (SAQ) es la herramienta de validación del cumplimiento para los comerciantes que no requieren una auditoría QSA. Elegir el SAQ incorrecto es uno de los errores de cumplimiento más comunes que cometen los equipos fintech: utilizar un cuestionario más corto de lo que requiere su modelo de negocio lo deja expuesto durante una investigación.

¿Qué SAQ se aplica a la mayoría de las fintechs?

• Si incorpora Stripe.js o una página de pago alojada y sus servidores nunca tocan los datos de la tarjeta: probablemente SAQ-A, pero solo si su entorno de pago está completamente aislado.
• Si sus servidores ofrecen JavaScript en la página de pago, cargan scripts de terceros o podrían verse comprometidos de una manera que afecte el flujo de pago: SAQ-A-EP.
• Si opera una API que enruta o procesa datos de tarjetas: SAQ-D.
• Si es un proveedor de servicios de pago o integra una funcionalidad de pago en los productos de otras empresas: SAQ-D (Proveedores de servicios).

En caso de duda, opte por el SAQ más completo. La diferencia entre SAQ-A y SAQ-A-EP no son solo 169 preguntas adicionales: es la diferencia entre una certificación conforme y un hallazgo forense de tergiversación.

PCI-DSS v4.0: What Changed

PCI-DSS v4.0 se convirtió en la única versión activa el 31 de marzo de 2024. Introduce cambios significativos que afectan la forma en que los equipos fintech abordan el cumplimiento:

Enfoque personalizado: v4.0 permite a las organizaciones cumplir con el objetivo establecido de un requisito utilizando controles que difieren del requisito definido, siempre que el resultado de seguridad sea equivalente. Esto brinda a los equipos de seguridad maduros más flexibilidad, pero requiere documentación rigurosa y validación QSA.

Requisitos de autenticación más estrictos: Ahora se requiere MFA para todos los accesos al CDE, no solo para el acceso remoto. Esto cierra una brecha de larga data donde el acceso a la red interna estaba exento.

Enfoque ampliado en el comercio electrónico: Los nuevos requisitos abordan la gestión de scripts en las páginas de pago (Requisito 6.4.3): todo el JavaScript en una página de pago debe estar autorizado, verificado su integridad y documentado. Esto apunta directamente a ataques a la cadena de suministro al estilo Magecart.

Análisis de riesgos específicos: Las organizaciones deben realizar análisis de riesgos específicos para justificar la frecuencia de ciertas actividades (por ejemplo, con qué frecuencia revisar los registros de acceso de los usuarios). Esto reemplaza los cronogramas prescriptivos con cadencias basadas en el riesgo, lo que significa que necesita una metodología de riesgo documentada.

Implementación por fases: Algunos requisitos de la versión 4.0 tenían un estado de "fecha futura", por lo que se volvieron obligatorios a partir del 31 de marzo de 2025. Si completó una evaluación de la versión 4.0 antes de esa fecha, verifique que todos los controles con fecha futura ya estén implementados y probados.

PCI-DSS Compliance Checklist

Utilice esta lista de verificación como punto de partida para la evaluación de brechas. Se corresponde con los 12 requisitos a nivel práctico para los equipos de seguridad e ingeniería fintech.

Red e infraestructura

• [] Reglas de firewall documentadas y revisadas trimestralmente
• [] Segmentos de red CDE aislados de sistemas que no son CDE
• [] No hay contraseñas de proveedor predeterminadas en ningún sistema dentro del alcance
• [] TLS 1.2+ aplicado en todas las rutas de transmisión de datos de los titulares de tarjetas
• [] Conjuntos de cifrado débiles deshabilitados (sin TLS 1.0, TLS 1.1, RC4, DES)

Protección de datos

• [] Política de almacenamiento de PAN documentada: los PAN completos no se almacenan a menos que sea estrictamente necesario
• PAN almacenados cifrados con AES-256 o equivalente; tokenización preferida
• [] Datos de autenticación confidenciales (SAD) eliminados inmediatamente después de la autorización
• Política de retención de datos definida y aplicada; proceso de purga automatizado

Control de acceso

• [] Control de acceso basado en roles implementado en todos los sistemas CDE
• [] MFA aplicado para todos los accesos CDE (incluida la red interna)
• [] ID de usuario únicos para todo el personal: no hay cuentas compartidas
• [] Revisiones de acceso realizadas al menos cada 6 meses
• [] Acceso del empleado cancelado revocado dentro del SLA definido

Seguridad de la aplicación

• [] Proceso SDLC seguro documentado y seguido
• [] Web Application Firewall (WAF) implementado para todas las aplicaciones CDE públicas
• [] Todo el JavaScript en las páginas de pago autorizado, inventariado y con integridad comprobada
• [] Escaneo de vulnerabilidades integrado en la canalización de CI/CD
• [] Proceso de gestión de parches con SLA de corrección definidos por gravedad

Monitoreo y pruebas

• [] Registro centralizado para toda la actividad del sistema CDE
• [] Monitoreo de la integridad de los registros implementado: los registros no se pueden modificar ni eliminar sin alertar
• [] Escaneos de vulnerabilidad externos trimestrales completados por un ASV
• Prueba de penetración anual completada (o con mayor frecuencia según evaluación de riesgos)
• [] Monitoreo de integridad de archivos implementado en hosts CDE

Política y Gobernanza

• Política escrita de seguridad de la información publicada y revisada anualmente
• Plan de respuesta a incidentes documentado y probado anualmente
• [] Inventario de proveedores de servicios externos mantenido con seguimiento del estado de cumplimiento
• Capacitación en concientización sobre seguridad completada anualmente por todo el personal.

PCI-DSS Timeline and Cost

Comprender los cronogramas típicos ayuda a los equipos de fintech a planificar el cumplimiento como un proyecto, no como una crisis.

Parámetros de costos:

El argumento comercial para el cumplimiento proactivo es sencillo: un compromiso SAQ-D con el alcance adecuado cuesta mucho menos que un mes de multas por incumplimiento, y mucho menos una infracción.

Common PCI-DSS Failures in Fintech

Estas son las brechas de cumplimiento más frecuentes que se encuentran en los entornos de ingeniería fintech durante las investigaciones forenses y las auditorías QSA:

Registro de PAN en texto sin formato. Los registros de aplicaciones y errores frecuentemente capturan cuerpos de solicitud sin procesar, que incluyen números de tarjeta. Una sola declaración de registro mal configurada puede dejarlo fuera de cumplimiento en toda su infraestructura de registro.

Subestimar el alcance del CDE. Los equipos asumen que usar Stripe significa que no tienen CDE. Pero si sus servidores cargan JavaScript en la página de pago, manejan webhooks que contienen datos adyacentes a la tarjeta o procesan llamadas API que podrían influir en el flujo de pago, esos sistemas están dentro de su alcance.

Ignorar scripts de terceros. Un único script de análisis o prueba A/B no examinado cargado en su página de pago crea una superficie de ataque de clase Magecart. El requisito 6.4.3 de PCI-DSS v4.0 ahora requiere explícitamente que haga un inventario y autorice todos los scripts en las páginas de pago.

Pruebas de penetración obsoletas. Las pruebas de penetración anuales realizadas una vez y olvidadas no reflejan la realidad de una base de código implementada continuamente. PCI-DSS requiere pruebas después de cambios significativos: la mayoría de los equipos de fintech implementan diariamente.

Credenciales compartidas y acceso permanente. Los ingenieros que comparten credenciales de bases de datos o cuentas de servicio con acceso CDE de nivel de administrador son endémicos en las empresas emergentes. PCI-DSS requiere identificaciones únicas y acceso con privilegios mínimos: aplicados, no sólo documentados.

Falta el seguimiento de cumplimiento del proveedor. Cada proveedor de servicios externo en su CDE debe mantener su propio cumplimiento de PCI-DSS. Muchos equipos de fintech no tienen un inventario de qué proveedores están dentro del alcance o si sus AoC están vigentes.

How Ainex Supports PCI-DSS Compliance

Desarrollar y mantener el cumplimiento de PCI-DSS manualmente (escribir políticas, ejecutar análisis, recopilar pruebas, realizar un seguimiento de las soluciones) es una carga operativa importante para cualquier equipo de ingeniería. Ainex está diseñado para comprimir ese ciclo.

Requisito 6: sistemas y software seguros: Ainex ejecuta análisis continuos de seguridad de aplicaciones en sus dominios y puntos finales registrados, identificando vulnerabilidades asignadas directamente a los controles del Requisito 6 de PCI-DSS. Cada hallazgo incluye gravedad, contexto CVSS y un script de corrección generado por IA, no solo una identificación de vulnerabilidad.

Requisito 11: Pruebe la seguridad con regularidad: Ainex produce informes de escaneo de vulnerabilidades externos de nivel ASV de forma continua, proporcionando los artefactos de evidencia que su QSA necesita para validar el Requisito 11. El historial de escaneo se conserva para fines de análisis de tendencias y seguimiento de auditoría.

Requisito 12: Política de seguridad de la información: La bóveda de cumplimiento de Ainex asigna su postura de escaneo actual a cada uno de los 12 requisitos PCI-DSS, brindándole una vista de preparación en vivo, no una instantánea de un momento dado que se vuelve obsoleta entre auditorías.

Transferencia de QSA: Cada hallazgo, acción de remediación y mapeo de control se puede exportar como un paquete de evidencia estructurado, creado para la transferencia directa a su asesor de seguridad calificado. Esto elimina semanas de preparación manual de pruebas.

Eva - Asistente de seguridad de IA: Eva, el asistente de IA integrado de Ainex, analiza los hallazgos en contexto, prioriza la remediación según el riesgo comercial y explica los problemas técnicos en un lenguaje accesible para los gerentes de cumplimiento que no son ingenieros de seguridad.

Ainex admite PCI-DSS junto con SOC 2, ISO 27001, HIPAA y GDPR, lo que lo hace práctico para equipos de tecnología financiera que operan en múltiples marcos de cumplimiento simultáneamente.

Precios: El plan gratuito cubre 1 terminal. El plan básico comienza en $199/mes. Pro a $599/mes. Los planes empresariales incluyen soporte de auditoría personalizado.

¿Listo para ver su exposición actual a PCI-DSS? Ejecute un análisis de seguridad gratuito en su dominio: no se requiere tarjeta de crédito.

FAQ

¿Necesito cumplir con PCI-DSS si uso Stripe?

Sí, pero sus requisitos de alcance y validación se reducen significativamente. El uso de la página de pago alojada de Stripe (Stripe Checkout o Payment Element sin JavaScript personalizado en sus servidores) significa que sus sistemas nunca tocan los datos sin procesar de la tarjeta. En ese caso, probablemente califique para SAQ-A, que cubre 22 controles en lugar de los más de 300 completos. Sin embargo, si sus servidores entregan JavaScript que se ejecuta en la página de pago, o si maneja webhooks que contienen datos adyacentes a la tarjeta de una manera que podría afectar la seguridad del pago, su alcance se expande a SAQ-A-EP o SAQ-D. El enfoque más seguro: solicite a su adquirente que confirme su tipo de SAQ antes de completar su certificación.

¿Qué es una QSA?

Un asesor de seguridad calificado (QSA) es una persona u organización certificada por PCI SSC para realizar evaluaciones PCI-DSS. Los comerciantes de nivel 1 deben utilizar un QSA para su auditoría anual in situ. Los comerciantes de nivel 2 a 4 generalmente se autoevalúan utilizando el SAQ, pero pueden contratar un QSA voluntariamente como guía. Los QSA emiten el Informe de Cumplimiento (RoC) y firman la Declaración de Cumplimiento (AoC) luego de una auditoría exitosa.

¿Qué es un escaneo ASV? ¿Necesito uno?

Un escaneo de proveedor de escaneo aprobado (ASV) es un escaneo de vulnerabilidad externa de sus sistemas conectados a Internet dentro del alcance de PCI-DSS. Los escaneos ASV son obligatorios trimestralmente para todos los niveles de comerciante. El análisis debe ser realizado por un proveedor aprobado por PCI SSC y debe producir un resultado aprobado (todos los hallazgos de alta gravedad resueltos) antes de que se cierre el período de cumplimiento trimestral.

¿Qué sucede si no supero una auditoría PCI-DSS?

No aprobar una auditoría QSA significa que su evaluador emite un Informe sobre el cumplimiento de los controles fallidos. Se notifica a su adquirente. Se le otorga un período de corrección, generalmente de 30 a 90 días, según la gravedad de los hallazgos. Durante este período, las marcas de tarjetas pueden imponer multas mensuales ($5000 a $100 000), aumentar su tasa de intercambio o exigir evaluaciones más frecuentes. Si sufre una infracción mientras no cumple, las multas aumentan significativamente y los costos de la auditoría forense corren a cargo de usted en su totalidad.

¿Se aplica PCI-DSS a BNPL y productos financieros integrados?

Sí, si los datos del titular de la tarjeta fluyen a través de su entorno. Las plataformas BNPL que financian transacciones con cuentas vinculadas a tarjetas y los productos financieros integrados que emiten o procesan pagos con tarjeta están sujetos a PCI-DSS en función de cómo interactúan sus sistemas con los datos de la tarjeta. La evaluación del alcance debe rastrear cada punto por donde los datos de la tarjeta ingresan, transitan o podrían verse afectados por sus sistemas.

¿Con qué frecuencia es necesario renovar el cumplimiento de PCI-DSS?

El cumplimiento de PCI-DSS es un ciclo de validación anual: usted completa una auditoría SAQ o QSA una vez al año y presenta una Declaración de cumplimiento. Sin embargo, los controles subyacentes deben mantenerse continuamente, no sólo en el momento de la auditoría. Los análisis ASV trimestrales, las evaluaciones periódicas de vulnerabilidades, las revisiones de acceso y la supervisión de registros son obligaciones continuas. PCI-DSS v4.0 refuerza esto al requerir análisis de riesgos específicos para establecer la frecuencia de muchas actividades, moviendo el estándar explícitamente hacia un modelo de cumplimiento continuo.

¿Cuál es la diferencia entre PCI-DSS y PA-DSS?

PA-DSS (Estándar de seguridad de datos de aplicaciones de pago) era un estándar separado para los proveedores de software que venden aplicaciones de pago. Se retiró en 2022. La seguridad del software ahora se aborda dentro del propio PCI-DSS, específicamente a través del PCI Secure Software Standard (PCI SSS) y el Secure Software Lifecycle Standard (PCI SLC). Si usted es una fintech que vende un producto de pago a otros comerciantes, pregunte a su QSA si PCI SLC se aplica a su proceso de desarrollo.

Conclusion

El cumplimiento de PCI-DSS no es un hito que se alcanza una vez; es la disciplina operativa continua la que determina si su infraestructura de pagos es defendible en el momento más importante. Para las nuevas empresas de tecnología financiera, la inversión en cumplimiento convirtió los primeros compuestos en una ventaja competitiva: ciclos de ventas empresariales más rápidos, diligencia debida más fluida, primas de seguros más bajas y la resiliencia para sobrevivir a un incidente sin perder su cuenta comercial.

El camino a seguir comienza con saber dónde se encuentra. ¿Cuál es su nivel de comerciante? ¿Qué SAQ se aplica a su modelo de negocio? ¿Dónde están las brechas entre su postura de seguridad actual y los 12 requisitos?

La plataforma de Ainex puede responder a las tres preguntas en minutos. Regístrese para un análisis de seguridad gratuito y obtenga un mapeo de control PCI-DSS de su infraestructura activa; no se requiere QSA para comenzar.

Continuar leyendo:

• Guía de cumplimiento de SOC 2
• Cumplimiento del RGPD para SaaS
• Cumplimiento de seguridad para Fintech: hoja de ruta completa