El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.
Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas1
Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.
Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).
Antes de la publicación de la primera versión del estándar PCI DSS, cada una de las marcas de tarjetas de pago que actualmente hacen parte del PCI SSC contaban con un programa propio de seguridad para la protección de los datos del titular de tarjeta:
American Express – Data Security Operating Policy (DSOP)
Discover – Discover Information Security Compliance (DISC)
JCB International – Data Security Program (DSP)
MasterCard – Site Data Protection (SDP)
Visa USA – Cardholder Information Security Program (CISP)
Visa International – Account Information Security Program (AIS)
Cada uno de estos programas definía los controles de seguridad a implementar, las entidades que debían cumplir con dichos controles, los procesos de reporte de cumplimiento y las sanciones y multas en caso de incumplimiento. No obstante, esto implicaba que si una entidad almacenaba, procesaba y/o transmitía datos de tarjetas pertenecientes a cualquiera de estas marcas entonces tenía que cumplir con su programa de seguridad relacionado, lo cual creaba duplicidades, incongruencias y solapamientos en la implementación de controles, sin contar la carga burocrática que conllevaba la gestión y reporte.
Todo esto llevó a que las marcas de pago definieran un estándar único que cumpliera con los requerimientos y expectativas de seguridad de forma transversal, evitando los problemas citados anteriormente y facilitando una adopción masiva en las entidades afectadas. Por ello, el 14 de diciembre de 2004 se publicó la versión 1.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS).