Seguridad en Pagos

PCI-DSS con Fortinet

Protege los datos de tarjetas de pago de tus clientes y cumple con el estándar PCI-DSS v4.0 con las soluciones de ciberseguridad Fortinet.

¿Qué es PCI-DSS?

PCI-DSS (Payment Card Industry Data Security Standard) es el estándar de seguridad desarrollado por el PCI Security Standards Council (fundado por Visa, Mastercard, American Express, Discover y JCB) que establece los requisitos técnicos y operativos para proteger los datos de tarjetas de pago.

La versión actual, PCI-DSS v4.0, entró en vigor en marzo de 2024 y establece 12 requisitos principales agrupados en 6 objetivos de control. Cualquier organización que procese, almacene o transmita datos de tarjetas de pago debe cumplir con este estándar.

El incumplimiento puede resultar en multas de hasta 500.000 USD por incidente, pérdida de la capacidad de procesar pagos con tarjeta y daño reputacional significativo.

Industrias que Deben Cumplir

Si tu empresa acepta pagos con tarjeta en cualquiera de estos sectores, PCI-DSS es obligatorio.

🏪

Retail

Tiendas físicas con TPV y pagos con tarjeta

🛒

E-commerce

Tiendas online que procesan pagos

🏦

Banca y Finanzas

Entidades financieras y procesadores de pago

🏨

Hostelería

Hoteles, restaurantes y cadenas de alimentación

Los 6 Objetivos y 12 Requisitos PCI-DSS

PCI-DSS v4.0 se estructura en 6 objetivos de control con 12 requisitos principales.

Requisitos 1-2

Construir y mantener una red segura

Requisitos 3-4

Proteger los datos del titular de la tarjeta

Requisitos 5-6

Mantener un programa de gestión de vulnerabilidades

Requisitos 7-9

Implementar medidas de control de acceso

Requisitos 10-11

Monitorizar y probar las redes regularmente

Requisito 12

Mantener una política de seguridad de la información

Requisitos PCI-DSS Cubiertos por Fortinet

Fortinet cubre directamente 7 de los 12 requisitos principales de PCI-DSS con sus productos de ciberseguridad.

Requisito	Descripción	Solución Fortinet	Detalles
Req 1	Controles de seguridad de red	FortiGate NGFW	Firewall perimetral y segmentación del entorno de datos de tarjetas (CDE). Políticas de acceso granulares y microsegmentación.
Req 2	Configuración segura de componentes	FortiManager	Gestión centralizada de configuraciones, plantillas de seguridad, control de cambios y auditoría de configuraciones.
Req 5	Protección contra malware	FortiGuard + FortiSandbox	Antimalware en tiempo real, sandboxing de archivos sospechosos y protección contra amenazas de día cero.
Req 6	Desarrollo y software seguros	FortiWeb WAF	Web Application Firewall que protege aplicaciones de pago contra OWASP Top 10, inyección SQL, XSS y otras vulnerabilidades.
Req 8	Autenticación e identificación	FortiAuthenticator	Autenticación multifactor (MFA), gestión de identidades, SSO y políticas de contraseñas para acceso al entorno de datos de tarjetas.
Req 10	Registro y monitorización	FortiAnalyzer	Registro centralizado de eventos de seguridad, retención de logs (mínimo 1 año), alertas automáticas y reports de cumplimiento PCI.
Req 11	Testing de seguridad regular	FortiGate Vulnerability Scan	Escaneo de vulnerabilidades trimestral (ASV), detección de puntos de acceso inalámbricos no autorizados y pruebas de penetración.

Segmentación del Entorno de Datos de Tarjetas (CDE)

La clave para reducir el alcance de PCI-DSS es segmentar correctamente el entorno de datos de tarjetas (CDE) del resto de la red. Una buena segmentación reduce el número de sistemas en alcance y simplifica enormemente el cumplimiento.

FortiGate + FortiSwitch proporcionan segmentación a nivel de red con VLANs, zonas de seguridad y políticas inter-VLAN que aíslan completamente el CDE.

Productos Recomendados para PCI-DSS

Explora los productos Fortinet que te ayudarán a cumplir con PCI-DSS v4.0.

🛡️

FortiGate

Firewall, segmentación CDE y VPN

📊

FortiAnalyzer / FortiManager

Logs PCI, auditoría y configuración

🔌

FortiSwitch

Segmentación de red VLAN para CDE

Preguntas Frecuentes sobre PCI-DSS

¿Quién debe cumplir con PCI-DSS?

Cualquier organización que procese, almacene o transmita datos de tarjetas de pago debe cumplir con PCI-DSS. Esto incluye comercios (tiendas físicas y online), restaurantes, hoteles, bancos, procesadores de pago, proveedores de servicios de pago y cualquier empresa que acepte pagos con tarjeta de crédito o débito.

¿Cuántos requisitos tiene PCI-DSS y cuáles cubre Fortinet?

PCI-DSS v4.0 tiene 12 requisitos principales agrupados en 6 objetivos de control. Fortinet cubre directamente los requisitos 1 (firewalls), 2 (configuración segura), 5 (antimalware), 6 (aplicaciones seguras con FortiWeb), 8 (autenticación con FortiAuthenticator), 10 (logging con FortiAnalyzer) y 11 (testing de seguridad). Esto representa más del 50% de los requisitos técnicos.

¿FortiGate cumple con el Requisito 1 de PCI-DSS?

Sí. FortiGate es un firewall de nueva generación (NGFW) que cumple y excede el Requisito 1 de PCI-DSS (instalar y mantener controles de seguridad de red). Proporciona segmentación de red para aislar el entorno de datos de tarjetas (CDE), inspección profunda de paquetes y políticas de acceso granulares.

¿Qué versión de PCI-DSS está vigente?

PCI-DSS v4.0 es la versión vigente desde marzo de 2024, sustituyendo a la v3.2.1. La v4.0 introduce un enfoque más flexible con objetivos personalizados, mayor énfasis en la autenticación multifactor (MFA), requisitos de cifrado más estrictos y evaluaciones de riesgo continuas.

Protege los datos de pago de tus clientes

Te ayudamos a implementar las soluciones Fortinet necesarias para cumplir con PCI-DSS v4.0 y proteger tu negocio.

Solicita una auditoría de cumplimiento Volver a Cumplimiento Normativo