Hard2bit
PCI DSS v4.0.1 · Audit-ready · Scoping · SAQ · RoC readiness

PCI DSS v4.0.1: implantar, no solo documentar

Acotamos el CDE, implantamos los controles de los 12 requerimientos, generamos la evidencia audit-ready y le acompañamos hasta el RoC firmado por el QSA o el SAQ defendible. Sin plantillas genéricas, sin maquillaje de última hora.

Solicitar diagnóstico PCI Cómo lo hacemos Ver pilar Cumplimiento & GRC

Estándar

PCI DSS v4.0.1 (jun 2024) · future-dated obligatorios desde 31-mar-2025

Perfil

Comercios niveles 1-4 · PSPs · procesadores · fintech

Entregable

SAQ defendible o RoC firmado con QSA

Cumplimiento PCI que aguanta la auditoría y el día a día.

PCI DSS (Payment Card Industry Data Security Standard) es el estándar del PCI Security Standards Council que aplica a cualquier organización que almacene, procese o transmita datos de titular de tarjeta o datos de autenticación sensibles. La versión vigente es v4.0.1 (junio de 2024), con todos los requerimientos de v4.0 ya obligatorios desde el 31 de marzo de 2025.

El coste real de PCI no está en el número de controles, sino en el tamaño del alcance. Trabajamos primero sobre el Cardholder Data Environment: flujos de datos, segmentación, tokenización y minimización. Cuando el CDE queda correctamente acotado, los 12 requerimientos aterrizan con mucho menos esfuerzo y riesgo.

Somos partner de implantación, no QSA. Eso significa que implantamos, documentamos, generamos evidencia y acompañamos hasta la auditoría formal, pero la firma del Report on Compliance la hace un QSA acreditado por el PCI SSC. Si todavía no tienes QSA, te ayudamos a elegirlo y a preparar la relación.

Punto clave:

El 80 % del coste y del riesgo de un proyecto PCI DSS se decide en las primeras semanas, cuando se fija el alcance. Lo que se haga mal ahí lo pagas durante los siguientes años.

Alcance bien acotado desde el minuto uno

El coste y el riesgo de PCI DSS dependen del alcance. Reducimos el CDE (Cardholder Data Environment) con segmentación, tokenización y minimización real del dato antes de tocar un control.

12 requerimientos, 300+ sub-controles

Mapeamos cada requerimiento de PCI DSS v4.0.1 a controles técnicos y organizativos, con responsables, evidencias y frecuencia de revisión. Nada de plantillas genéricas.

Evidencia audit-ready

Dejamos registros, métricas, procedimientos y pruebas trazables que resisten la revisión de un QSA o la autoevaluación de un SAQ, sin maquillaje de última hora.

Customized Approach de v4.0

Cuando el control por defecto no encaja con tu arquitectura, diseñamos el Customized Approach con objetivo, análisis de riesgo, diseño, pruebas y mantenimiento documentados como pide el estándar.

Perfiles en los que trabajamos

¿Tu organización encaja en PCI DSS?

Si tocas PAN, CVV o datos sensibles de autenticación en cualquier punto, PCI DSS aplica. Estos son los perfiles donde suele encajar nuestro servicio.

Comercios (merchants) niveles 1 a 4

Desde grandes retailers con millones de transacciones hasta comercios de menor volumen que consolidan su SAQ A, SAQ B-IP, SAQ C o SAQ D.

PSPs, gateways y procesadores

Proveedores de servicio que tocan datos de titular de tarjeta o datos de autenticación sensibles y necesitan RoC anual con QSA.

Fintech, neobancos y emisores

Entidades que procesan, almacenan o transmiten datos de tarjetas como parte de emisión, wallets, BaaS o pagos integrados en plataforma.

SaaS y e-commerce con contenido embebido

Plataformas que nunca tocan el PAN pero exponen scripts o iframes en páginas de pago (requerimientos 6.4.3 y 11.6.1 de v4.0).

Cómo lo hacemos

De alcance a RoC o SAQ

Proceso contrastado en implantaciones de PCI DSS en procesadores, retail y fintech. Cada fase deja evidencia reutilizable para el ciclo anual.

01

Scoping y reducción del alcance

Flujos de PAN/CVV, segmentación, tokenización, minimización y decisión sobre qué activos pueden salir del CDE. El control más barato es el que no hay que implantar.

02

Gap assessment PCI DSS v4.0.1

Evaluación por los 12 requerimientos, 6 áreas de control, sub-controles y requerimientos con fecha límite. Entregamos informe con severidad y prioridad.

03

Diseño de controles y arquitectura

Definimos cómo cerrar cada hallazgo: configuración, herramientas, proceso y responsable. Si hace falta Customized Approach, lo documentamos en regla.

04

Implantación y hardening

Acompañamos o ejecutamos segmentación, gestión de claves, logging, gestión de vulnerabilidades, control de accesos, MFA, revisiones y hardening de sistemas.

05

Pruebas obligatorias del estándar

ASV scan trimestral con proveedor aprobado, pruebas de penetración interna y externa (req. 11.4), test de segmentación, revisiones de código y gestión de cambios.

06

Dry-run y acompañamiento a auditoría

Simulamos la auditoría con un QSA o el SAQ aplicable antes del oficial. Cerramos observaciones y acompañamos en la revisión formal hasta el RoC o el AoC.

Qué te llevas

Entregables concretos, no un PDF

Trabajamos en paralelo con tu equipo, tu QSA (si ya lo tienes) y tu plataforma real. Todo queda versionado y reutilizable para los ciclos siguientes.

Análisis de alcance y diagrama del CDE

Inventario de activos, flujos de datos de tarjeta, segmentación de red y justificación del alcance con criterios de reducción.

Gap assessment vs PCI DSS v4.0.1

Estado actual vs estándar con severidad, hallazgos priorizados, esfuerzo estimado y quick wins para reducir exposición en el corto plazo.

Plan de remediación gobernable

Roadmap por fases con responsables, hitos, dependencias y entregables por control. Alineado a tu calendario y a la ventana de auditoría.

Políticas, procedimientos y runbooks

Set documental audit-ready: políticas, procedimientos operativos, runbooks de respuesta y formularios de evidencia repetibles.

Evidencias y logs estructurados

Registros técnicos y organizativos por control y sub-control, con fecha, responsable y ubicación, listos para el SAQ o el QSA.

Customized Approach Worksheets

Cuando aplique: objetivo del control, análisis de riesgo, diseño, prueba y mantenimiento documentados como exige el Anexo E de v4.0.

Casos reales · anonimizados

Cómo ha aterrizado PCI DSS en clientes reales

No publicamos nombres ni cifras concretas por respeto al compromiso de confidencialidad. Sí compartimos el perfil, el contexto y el resultado.

Procesador de pagos europeo con presencia multi-país

Contexto

Operativa como PSP con obligación anual de RoC. Arquitectura cloud-native con múltiples microservicios y un CDE difuso heredado de crecimiento rápido.

Qué hicimos

Redibujamos el CDE, aislamos el procesamiento de PAN en una zona segmentada, migramos almacenamiento a tokenización y redactamos las Customized Approach Worksheets para los controles no aplicables tal cual.

Resultado

Reducción sustancial del número de sistemas en alcance, evidencias listas para el QSA y RoC firmado en la ventana prevista sin hallazgos de riesgo alto.

Retailer omnicanal con e-commerce y tienda física

Contexto

SAQ A para parte del e-commerce (iframe redirigido) y SAQ D para la parte física y back-office. Req. 6.4.3 y 11.6.1 de v4.0 sin cubrir al acercarse la fecha de obligatoriedad.

Qué hicimos

Inventariamos y firmamos los scripts en las páginas de pago, desplegamos monitorización de cambios en cabeceras HTTP, cerramos los huecos de logging de PoS y rehicimos el SAQ con evidencias trazables.

Resultado

Autoevaluación defendible ante el adquirente, control del riesgo de web skimming y un calendario de revisiones anual incorporado al plan de GRC.

Fintech de pagos integrados en plataforma SaaS

Contexto

Equipo pequeño, plataforma en AWS y obligación contractual con el adquirente de acreditar PCI DSS. Sin histórico de auditoría formal.

Qué hicimos

Diseñamos el alcance desde cero, apoyados en segregación de cuentas AWS, KMS gestionado, logging centralizado y gestión de secretos. Implantamos el set documental mínimo y acompañamos el primer RoC con un QSA externo.

Resultado

Primera certificación obtenida sin hallazgos de riesgo alto y base operativa que permite mantener el cumplimiento como parte del ciclo normal de la plataforma.

Sobre el estándar

Lo que conviene saber de PCI DSS v4.0.1

Son hechos del propio estándar y del PCI Security Standards Council. Citamos fuente y fecha para que puedas verificarlo.

  • i PCI DSS v4.0.1 es la versión vigente desde el 11 de junio de 2024, con aclaraciones sobre v4.0. Los 'future-dated requirements' de v4.0 pasaron a ser obligatorios el 31 de marzo de 2025. Referencia: PCI Security Standards Council (pcisecuritystandards.org).
  • i Los SAQ aplicables y el nivel de comercio vienen determinados por el volumen de transacciones y el modelo de aceptación. La asignación formal del nivel la hacen la marca de pago y el adquirente.
  • i La certificación formal (Report on Compliance) sólo puede emitirla un QSA acreditado por el PCI SSC. Hard2bit actúa como partner de implantación, preparación y acompañamiento; no sustituye al QSA en la firma del RoC.
  • i El escaneo trimestral externo del requerimiento 11.3.2 debe hacerlo un Approved Scanning Vendor (ASV) aprobado por el PCI SSC.

Errores frecuentes

Lo que NO es un proyecto PCI serio

Seis patrones que provocan la mayoría de no conformidades en auditoría. Los evitamos desde el día uno.

  • × Plantillas genéricas de políticas sin mapear tus activos ni tus flujos de datos.
  • × No reducir el alcance antes de implantar controles: multiplica coste, tiempo y riesgo de no pasar la auditoría.
  • × Confundir SAQ con RoC: no son el mismo vehículo de evidencia ni aplican al mismo perfil.
  • × Marcar todos los requerimientos como 'no aplica' sin justificar por qué en el SAQ.
  • × Dejar el ASV scan, el pentest y el test de segmentación para el último mes antes de auditoría.
  • × Adoptar el Customized Approach sin la documentación formal que exige el Anexo E (objetivo, análisis de riesgo, diseño, prueba, mantenimiento).

Preguntas frecuentes

Dudas típicas sobre PCI DSS

¿Hard2bit es QSA? ¿Firmáis el Report on Compliance?
No. El Report on Compliance (RoC) sólo puede emitirlo un Qualified Security Assessor (QSA) acreditado por el PCI Security Standards Council. Hard2bit actúa como partner de implantación, preparación y acompañamiento a auditoría: acotamos alcance, implantamos controles, generamos evidencias y te acompañamos en la revisión con el QSA. Si todavía no tienes QSA contratado, te ayudamos a elegirlo y a preparar la relación.
¿Qué versión del estándar aplicamos?
PCI DSS v4.0.1, publicada el 11 de junio de 2024 por el PCI Security Standards Council. Es una revisión de aclaración sobre v4.0 y no introduce nuevos requerimientos. Los llamados 'future-dated requirements' de v4.0 pasaron a ser obligatorios el 31 de marzo de 2025, así que todos los controles con fecha aplazada ya son exigibles en auditoría hoy.
¿Cuál es la diferencia entre SAQ y RoC?
El SAQ (Self-Assessment Questionnaire) es una autoevaluación que firman comercios y algunos proveedores de servicio con perfiles de transacciones menores. El RoC (Report on Compliance) es una auditoría formal realizada por un QSA, habitual en comercios de nivel 1 y en proveedores de servicio. El SAQ aplicable lo determina el modelo de aceptación y el volumen de transacciones; te ayudamos a identificar el correcto al inicio del proyecto.
¿Cómo reducís el alcance del CDE y por qué importa?
Cada activo dentro del Cardholder Data Environment hereda decenas de controles PCI. Reducir el alcance combina segmentación de red, tokenización, minimización de datos, redirección a iframes o páginas alojadas por el PSP, y endurecimiento del perímetro. Bien hecho, se traduce en menos sistemas auditados, menos riesgo y menos coste recurrente, sin perder funcionalidad del negocio.
¿Qué es el Customized Approach y cuándo conviene usarlo?
Es una vía introducida en v4.0 para cumplir el objetivo del control con un diseño distinto al 'Defined Approach' estándar. Sólo merece la pena cuando la arquitectura impide aplicar el control por defecto y hay un diseño alternativo sólido. Exige documentar objetivo del control, análisis de riesgo, diseño, prueba y mantenimiento como marca el Anexo E. Lo usamos con criterio, no como atajo.
¿Cuánto tiempo lleva implantar PCI DSS?
Depende del punto de partida, tamaño del CDE y madurez del equipo. Proyectos de primera certificación en fintech pequeña se estabilizan en unos meses; en grandes procesadores con CDE complejo el recorrido puede ser de un año o más incluyendo remediaciones estructurales. El diagnóstico inicial determina alcance, esfuerzo y calendario realista, sin compromisos de plazo que luego no se cumplen.
¿Cómo encaja PCI DSS con ISO 27001, ENS, NIS2 o DORA?
PCI DSS es específico del dato de tarjeta; los demás son marcos de seguridad o resiliencia más amplios. Compartimos controles (gestión de accesos, logging, vulnerabilidades, respuesta a incidentes), así que un programa bien diseñado reutiliza evidencias entre marcos. En un cliente con ISO 27001 y PCI DSS, mapeamos los controles ISO al Anexo A de PCI y evitamos duplicar esfuerzo.
¿Podéis operar después los controles (SOC, vulnerabilidades, IR)?
Sí. Muchos clientes encajan PCI DSS con servicios operativos de Hard2bit. El SOC/MDR cubre monitorización y respuesta de requerimientos de detección; la gestión de vulnerabilidades cubre el 6.x y el 11.x; el retainer de IR cubre 12.10. Así el cumplimiento no se queda en el papel.

Servicios relacionados

Controles PCI que sostienen el día a día

PCI DSS toca casi todas las capas. Estos son los servicios con los que habitualmente se combina para que el cumplimiento aguante año a año.

ISO 27001 ENS NIS2 DORA SOC/MDR gestionado Gestión de vulnerabilidades Pentesting Web/API Respuesta a incidentes Retainer IR 24/7 CISO virtual (vCISO) Forense digital (DFIR) Auditoría de seguridad informática Sector financiero

¿PCI DSS en el horizonte? Empieza por acotar bien el alcance.

Diagnóstico PCI en 2 semanas: scoping del CDE, gap versus v4.0.1 y plan de remediación priorizado antes de tomar decisiones de inversión.

Reservar diagnóstico PCI Ver pilar Cumplimiento & GRC