Cumplimiento de PCI DSS

Contactar con un experto

Volver a todos los casos de uso

Cumplimiento de PCI DSS

ElPCI DSSse desarrolló para mejorar la seguridad de los datos de los titulares de tarjetas y facilitar la adopción generalizada de medidas de seguridad de datos coherentes a nivel mundial. La norma se aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas. Con 12 requisitos en seis áreas, la norma tiene por objeto garantizar que las organizaciones dispongan de los controles y procedimientos adecuados para proteger los datos de los titulares de tarjetas.

En lo que respecta específicamente a la gestión de riesgos de terceros, el requisito 12: Apoyar la seguridad de la información con políticas y programas organizativos, sección 12.8: Se gestiona el riesgo para los activos de información asociados a las relaciones con proveedores de servicios externos (TPSP), indica que los proveedores de servicios externos (TPSP) son responsables de garantizar que los datos estén protegidos según los requisitos aplicables de la norma PCI DSS y que cumplan con ella.

Los terceros deben demostrar el cumplimiento de los requisitos de PCI DSS, y ahí es donde resulta esencialuna evaluación de los controles internosy una supervisión continua, con el fin de determinar la eficacia de los controles internos de seguridad de los datos y corregir los fallos detectados antes de que una violación de datos por parte de terceros afecte negativamente al negocio.

Todos los proveedores de servicios con acceso a datos de titulares de tarjetas, incluidos los proveedores de alojamiento compartido, deben cumplir con la norma PCI DSS; los proveedores de alojamiento compartido deben proteger el entorno y los datos alojados de cada entidad. Esta página se centra específicamente en los requisitos de los proveedores de alojamiento.

Requisitos pertinentes

  • Realizar la debida diligencia sobre los controles y prácticas de seguridad de datos de los proveedores de servicios externos.

  • Contar con acuerdos adecuados con proveedores de servicios externos para hacer cumplir los controles.

  • Identificar qué controles y requisitos de seguridad de datos de terceros se aplican.
  • Supervisar el cumplimiento de los proveedores de servicios externos al menos una vez al año.

Cumplimiento de las directrices PCI DSS

La tabla resumen que figura a continuación muestra las capacidades de las mejores prácticas del sector disponibles en laplataforma de gestión de riesgos de terceros Prevalentpara seleccionar los requisitos de los proveedores de servicios externos presentes en PCI DSS v4.0.

NOTA: Esta tabla no debe considerarse una guía definitiva. Para obtener una lista completa de los requisitos, revise detalladamente laNorma de Seguridad de Datos PCI v4.0y consulte a su auditor.

Requisitos y procedimientos de prueba para proveedores de servicios externos según la norma PCI DSS v4.0

Cómo ayuda Prevalent

Requisito 6: Desarrollar y mantener sistemas y software seguros.

6.3 Se identifican y abordan las vulnerabilidades de seguridad.

6.3.2Se mantiene un inventario del software personalizado y a medida, así como de los componentes de software de terceros incorporados al software personalizado y a medida, con el fin de facilitar la gestión de vulnerabilidades y parches.

6.3.2.aExaminar la documentación y entrevistar al personal para verificar que se mantiene un inventario del software a medida y personalizado y de los componentes de software de terceros incorporados al software a medida y personalizado, y que el inventario se utiliza para identificar y abordar las vulnerabilidades.

6.3.2.bExaminar la documentación del software, incluido el software a medida y personalizado que integra componentes de software de terceros, y compararla con el inventario para verificar que este incluye el software a medida y personalizado y los componentes de software de terceros.

Con la plataforma Prevalent, puede exigir a los proveedores que proporcionenlistas de materiales de software (SBOM)actualizadas para sus productos de software y adjuntarlas como prueba o documentación importante relacionada con el proveedor. Esto le ayudará a centralizar la gestión de artefactos importantes e identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización.

Requisito 12: Respaldar la seguridad de la información con políticas y programas organizativos.

12.8 Se gestiona el riesgo para los activos de información asociado a las relaciones con proveedores de servicios externos (TPSP).

12.8.1Se mantiene una lista de todos los proveedores de servicios externos (TPSP) con los que se comparten datos de cuentas o que podrían afectar a la seguridad de los datos de cuentas, incluida una descripción de cada uno de los servicios prestados.

12.8.1.aExaminar las políticas y procedimientos para verificar que se hayan definido procesos para mantener una lista de TPSP, incluida una descripción de cada uno de los servicios prestados, para todos los TPSP con los que se comparten datos de cuentas o que podrían afectar a la seguridad de los datos de cuentas.

12.8.1.bExaminar la documentación para verificar que se mantiene una lista de todos los TPSP que incluye una descripción del enfoque personalizado objetivo de los servicios prestados.

Con la plataforma Prevalent, puede importar proveedores de servicios externos a un sistema de gestión centralizado mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de gestión de proveedores o compras ya existente, lo que elimina los procesos manuales propensos a errores.

La plataforma proporciona un sencillo formulario de admisión para todas las partes interesadas responsables de gestionar a terceros, de modo que todos puedan aportar información al perfil centralizado de terceros. Está disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.

Creeperfiles completos de proveedores de servicios externosque incluyan datos demográficos de los proveedores, ubicación geográfica, tecnologías de terceros utilizadas e información operativa y financiera reciente con la plataforma Prevalent. Disponer de estos datos acumulados le permitirá informar sobre el riesgo de concentración tecnológica y tomar medidas al respecto.

12.8.2Los acuerdos escritos con los TPSP se mantienen de la siguiente manera:

  • Se mantienen acuerdos por escrito con todos los TPSP con los que se comparten datos de cuentas o que podrían afectar a la seguridad del CDE.
  • Los acuerdos escritos incluyen reconocimientos por parte de los TPSP de que son responsables de la seguridad de los datos de las cuentas que poseen o almacenan, procesan o transmiten en nombre de la entidad, o en la medida en que puedan afectar a la seguridad del CDE de la entidad.

12.8.2.aExaminar las políticas y procedimientos para verificar que se hayan definido procesos para mantener acuerdos por escrito con todos los TPSP de conformidad con todos los elementos especificados en este requisito.

12.8.2.bExaminar los acuerdos escritos con los TPSP para verificar que se mantienen de conformidad con todos los elementos especificados en este requisito.

Con Prevalent, puede centralizar la distribución, discusión, retención y revisión delos contratos con proveedorespara automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave.

Las capacidades clave incluyen:

  • Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con esta capacidad, puede asegurarse de que las responsabilidades claras y las cláusulas de derecho a auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia.

12.8.3Se implementa un proceso establecido para contratar a los TPSP, que incluye la debida diligencia previa a la contratación.

12.8.3.aExaminar las políticas y procedimientos para verificar que se hayan definido los procesos para contratar a los TPSP, incluida la debida diligencia previa a la contratación.

12.8.3.bExaminar las pruebas y entrevistar al personal responsable para verificar que el proceso de contratación de los TPSP incluye la debida diligencia previa a la contratación.

Comience cuantificando los riesgos inherentes para todos los terceros utilizando Prevalent. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

12.8.4Se implementa un programa para supervisar el estado de cumplimiento de la norma PCI DSS por parte de los TPSP al menos una vez cada 12 meses.

12.8.4.aExaminar las políticas y procedimientos para verificar que se hayan definido procesos para supervisar el estado de cumplimiento de la norma PCI DSS por parte de los TPSP al menos una vez cada 12 meses.

12.8.4.bExaminar la documentación y entrevistar al personal responsable para verificar que el estado de cumplimiento de la norma PCI DSS de cada TPSP se supervisa al menos una vez cada 12 meses.

La plataforma Prevalent TPRM incluye una amplia biblioteca de plantillas prediseñadas paraevaluaciones de riesgos de terceros, incluidas aquellas creadas específicamente en torno a PCI. Las evaluaciones pueden realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación.

Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas, lo que garantiza que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.
Es importante destacar que Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, la Plataforma Prevalent realiza un seguimiento y análisis continuosde las amenazas externas a terceros. La Plataforma supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.

Recursos adicionales

Blog

Cumplimiento de los requisitos de PCI DSS para proveedores de servicios externos

Libro Blanco

Manual de cumplimiento normativo para terceros: marcos de ciberseguridad

Blog

Plantilla gratuita para la creación de perfiles y niveles de terceros

Guía

Alinee su programa TPRM con ISO, NIST, SOC 2 y más

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.