Cualquier empresa que gestione transacciones financieras es el objetivo de los ciberdelincuentes, que siguen el dinero. Pérdidas de comercio electrónico debidas a fraude de pago en línea se espera que alcancen más de 48 mil millones de dólares en todo el mundo para finales de 2023. La encuesta sobre fraudes y delitos económicos globales de 2022 de PwC reveló que más de la mitad de los encuestados habían sufrido fraude financiero en los dos años anteriores. Según el informe de investigaciones de Verizon sobre filtraciones de datos de 2023 (DBIR), en el sector financiero, el uso indebido de privilegios está detrás de la mayoría de las filtraciones de datos.

Dado que el estándar PCI DSS se aplica a cualquier organización que acepte, procese, almacene o transmita datos de titulares de tarjetas, los siguientes tipos de organizaciones deben demostrar el cumplimiento del estándar:

Comerciantes de todos los tamaños

Instituciones financieras

Procesadores de pagos, tanto basados en hardware como en software

Proveedores de puntos de venta (POS)

Entre los ejemplos de organizaciones afectadas por PCI DSS se incluyen los siguientes:



Pequeños comerciantes y minoristas

Las pequeñas y medianas empresas (pymes) corren el mismo riesgo de sufrir una filtración de datos grave que sus homólogos de mayor tamaño. Según el DBIR de 2022, el 61 % de las pymes sufrieron al menos una filtración de datos. Los pequeños comerciantes deben cumplir los principios de PCI DSS, en virtud de los cuales existen cuatro niveles de cumplimiento para los comerciantes:

Level 1: Procesamiento de más de 6 millones de transacciones con tarjetas al año

Level 2: Procesamiento de 1 a 6 millones de transacciones al año

Level 3: Procesamiento de 20 000 a 1 millón de transacciones al año

Level 4: Procesamiento de menos de 20 000 transacciones al año

Los pequeños comerciantes deben garantizar que la seguridad se enfoque como un ejercicio integral: garantizar que sus sistemas de TI estén protegidos mediante cortafuegos, implementar controles de acceso sólidos y aplicar el cifrado a los datos de los titulares de tarjetas. Para lograr y simplificar este nivel de seguridad de 360 grados, las pymes deben buscar soluciones que puedan proteger los datos, los dispositivos y las personas.

Proveedores de servicios

Un proveedor de servicios es cualquier empresa que pueda afectar a la seguridad de los datos de pago, incluso si pertenece a otra organización. PCI DSS tiene dos niveles de conformidad que dependen de los niveles de transacción gestionados por el proveedor de servicios:

Level 1 Proveedor de servicios: 300 000 o más transacciones al año (2,5 millones o más de transacciones para American Express)

Proveedor de servicios de nivel 2: Menos de 300 000 transacciones al año (menos de 2,5 millones de transacciones para American Express)

Al igual que con los establecimientos de pymes, los proveedores de servicios deben cumplir las medidas y controles de seguridad PCI DSS.