Home Normas Sectores ✦ AI Assessment Get a Quote →
HomeNormas → PCI DSS

PCI DSS — Estándar de Seguridad de Datos del Sector de Tarjetas de Pago

The mandatory security standard for all organisations that store, process, or transmit payment card data. BALTUM supports merchants, payment processors, and service providers through PCI DSS v4.0 compliance — from SAQ self-assessment to full Report on Compliance (ROC) engagements.

PCI DSS v4.0Payment securitySAQROCCardholder data

¿Qué es PCI DSS?

El Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) es un conjunto de requisitos de seguridad establecidos por el Consejo de Estándares de Seguridad PCI (PCI SSC), fundado por American Express, Discover, JCB, Mastercard y Visa. PCI DSS v4.0, publicado en marzo de 2022, es ahora el estándar activo (v3.2.1 retirado en marzo de 2024).

El cumplimiento es obligatorio para cualquier organización que almacene, procese o transmita datos de titulares de tarjetas, independientemente del volumen de transacciones. El incumplimiento puede resultar en multas, aumento de comisiones de transacción y pérdida de los derechos de aceptación de tarjetas.

PCI DSS Compliance Levels

  • Level 1 — Merchants processing over 6 million transactions/year; requires annual ROC by QSA and quarterly network scan.
  • Level 2 — 1–6 million transactions/year; annual SAQ and quarterly scan.
  • Level 3 — 20,000–1 million e-commerce transactions; annual SAQ and quarterly scan.
  • Level 4 — Under 20,000 e-commerce or up to 1 million other transactions; annual SAQ recommended.

PCI DSS v4.0 Key Changes

  • Customised approach option for organisations with mature controls
  • New requirements for phishing-resistant MFA
  • Expanded requirements for e-commerce and payment page security (Requirement 6.4)
  • New targeted risk analysis requirements
  • 64 new future-dated requirements (mandatory from March 2025)

BALTUM PCI DSS Engagement

  • Scope definition and cardholder data environment (CDE) mapping
  • Gap analysis against PCI DSS v4.0 requirements
  • Remediation roadmap and control implementation support
  • SAQ completion support (SAQ A, A-EP, B, C, D as applicable)
  • ROC preparation and QSA coordination for Level 1 merchants
  • Quarterly ASV vulnerability scanning coordination

Integration with ISO 27001

PCI DSS e ISO 27001 comparten una superposición significativa de controles en control de acceso, gestión de vulnerabilidades, registro y monitoreo y respuesta a incidentes. El programa integrado de BALTUM mapea ambos conjuntos de requisitos a un marco de control unificado, minimizando la duplicación y reduciendo el costo total de cumplimiento.