Ir al contenido principal

Lista completa de requisitos de contraseña de PCI para empresas.

|W. Perry Wortman

Los requisitos de contraseña de la PCI (industria de tarjetas de pago, por sus siglas en inglés) se establecieron porque el sector de las tarjetas de crédito reconoció que se debía y se podía hacer más para proteger la privacidad y la seguridad de los clientes. Ahora que se inicia su tercera década de aplicación práctica, estos requisitos de contraseña se centran en el mantenimiento de las prácticas de generación, uso y almacenamiento de contraseñas seguras.

¿Qué es el estándar de seguridad PCI DSS?

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS, por sus siglas en inglés) es un conjunto de requisitos de seguridad diseñados para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro. El estándar incluye lo que las empresas deben hacer para defenderse de violaciones de datos y evitar multas. Naturalmente, esto incluye evitar el acceso no autorizado a las cuentas de la empresa siguiendo las prácticas recomendadas de contraseñas.

  • Objetivo del estándar: de acuerdo con la declaración de objetivos de la PCI, el objetivo de todas las iniciativas estratégicas de la PCI es mejorar la seguridad de los datos de cuentas de pago en todo el mundo mediante el desarrollo de estándares y servicios de asistencia para mejorar la educación, la concienciación y la puesta en práctica efectiva de iniciativas de ciberseguridad. Con 389 000 casos de fraude de tarjetas de crédito notificados a la Comisión Federal de Comercio (FTC, por sus siglas en inglés) solo en 2021, la necesidad actual de estas iniciativas es evidente.
  • Historial del estándar: los requisitos del estándar PCI DSS se desarrollaron tras la aparición del comercio electrónico y los métodos de pago digitales, a principios de la década de 2000. A medida que los delitos cibernéticos relacionados con los pagos en línea se hicieron más frecuentes, los principales proveedores de tarjetas de crédito unieron sus fuerzas para combatir el pirateo, el robo de identidad y otras actividades en línea maliciosas. En 2001, estos esfuerzos culminaron con el lanzamiento del primer estándar PCI DSS, y desde entonces se han venido produciendo actualizaciones periódicas del mismo.
  • PCI DSS 4.0: la versión más reciente del estándar de seguridad PCI DSS, PCI DSS 4.0, se lanzó en marzo de 2022. Esta nueva versión aborda las amenazas de seguridad emergentes, promueve la seguridad como un proceso continuo y aclara las directrices sobre los requisitos de PCI existentes. Los requisitos de la versión 4.0 seguirán siendo opcionales hasta marzo de 2025.

¿Quiere obtener más información sobre el uso de un administrador de contraseñas para su empresa?

Consulte los planes empresariales de Dashlane o comience con una prueba gratuita para empresas.

¿Cuáles son los requisitos del PCI DSS para las contraseñas? 

Los requisitos del PCI DSS para una contraseña para empresas que administran pagos con tarjeta de crédito reflejan el consenso y las prácticas recomendadas del sector en aspectos importantes de la salud de las contraseñas, e incluyen las siguientes especificaciones:

  1. Las contraseñas deben restablecerse de forma regular: la política de contraseñas de conformidad con la PCI incluye el requisito de restablecer la contraseña cada 90 días. Sin embargo, las recomendaciones recientes del NIST señalan el posible inconveniente de estos cambios frecuentes: las actualizaciones forzadas pueden llevar a cambios menores que los piratas informáticos probablemente adivinen o a contraseñas que se reutilizan por comodidad. Las actividades de mitigación de riesgos, como la implementación de un administrador de contraseñas para generar contraseñas seguras y complejas, también minimizan la necesidad de actualizaciones obligatorias.
  2. Los intentos de ingreso deben ser limitados: todos hemos intentado adivinar alguna vez una contraseña olvidada o perdida, con la esperanza de recordarla correctamente antes de usar el número de intentos permitidos. De acuerdo con los requisitos de la contraseña de la PCI, se debe permitir a los usuarios un número razonable (de 3 a 6) de intentos de ingreso. Después de superar esta cuota, la persona que intenta ingresar quedar bloqueada durante un período de tiempo especificado o debe llamar al departamento de TI o al administrador del sistema para desbloquear la cuenta. Este límite de ingreso de conformidad con la PCI es una fuerte medida disuasoria para ataques de fuerza bruta que utilizan miles de combinaciones de credenciales en un intento de obtener acceso no autorizado a la cuenta.
Gráfico que representa a un ciberdelincuente que prueba diferentes credenciales de usuario y luego accede con éxito al banco, el correo electrónico y las cuentas de las redes sociales del usuario.
  1. Hay que implementar sesiones de tiempo de espera: el estándar PCI DSS requiere que haya tiempos de espera automáticos del sistema para contrarrestar los riesgos que surgen de un personal más móvil. Todas las organizaciones deben implementar tiempos de espera automáticos, aunque cada empresa puede establecer sus propios límites de tiempo de acuerdo con los riesgos. Tras exceder el límite de inactividad, los usuarios deben volver a escribir sus credenciales para volver a entrar en la red. Esta normativa ayuda a mitigar el riesgo de los dispositivos desatendidos en entornos públicos tales como cafeterías, aeropuertos y hoteles.
  2. Las contraseñas deben ser largas y complejas: establecer contraseñas largas y complejas para todas las cuentas es una de las mejores formas de frustrar prácticas de pirateo como los ataques de fuerza bruta. Los requisitos de contraseñas del estándar de la PCI especifican siete o más caracteres, pero si se usan al menos 12 caracteres mejorará en mucho la fortaleza de la contraseña y su resistencia al pirateo.
  3. Una contraseña compleja incluye letras mayúsculas, minúsculas, números y caracteres especiales en orden aleatorio. También evita el uso de frases habituales o cadenas predecibles como ABCD y 12345. Además, una contraseña segura y compleja omite números o frases que se pueden vincular a la identidad, como el nombre, la fecha de nacimiento y el número de teléfono.       
  4. Las contraseñas deben ser únicas: una contraseña única es aquella que no se reutiliza para otras cuentas. La repetición de contraseñas es habitual, ya que reduce la memorización o la administración de contraseñas que hay que hacer. Sin embargo, también disminuye la seguridad de la contraseña, ya que varias cuentas pueden verse afectadas si la contraseña reutilizada se ve comprometida.
  5. Los datos confidenciales deben estar encriptados: los requisitos de encriptación del estándar PCI DSS hacen obligatoria la encriptación de las contraseñas y otros datos confidenciales durante la transmisión y el almacenamiento, aunque actualmente no especifican un método de encriptación. La codificación de las contraseñas mediante encriptación las hace ilegibles e inutilizables para los piratas informáticos, lo que reduce el impacto de una violación de datos. El administrador de contraseñas de Dashlane utiliza una encriptación AES de 256 bits, ampliamente aceptada como el tipo de encriptación más fuerte disponible, para proteger sus contraseñas y demás información personal.

¿Quiere saber cómo encripta Dashlane los datos de los clientes sin tomar atajos? Consulte nuestra publicación del blog.

Las ventajas del uso de la autenticación multifactor

Las prácticas recomendadas de salud de contraseñas especificadas por los requisitos de contraseñas del PCI DSS ayudan a mejorar la ciberseguridad y a proteger la información de cuentas de tarjetas de crédito. Al destacar también la autenticación multifactor (MFA), la PCI ha dado un paso importante hacia unas transacciones en línea más seguras. Los atributos positivos de la MFA incluyen:

  • La adición de una capa extra de seguridad
    La autenticación de dos factores (2FA) utiliza una segunda credencial, como un código enviado a través de una aplicación o mensaje de texto, para confirmar la identidad del usuario. La simple premisa subyacente a la 2FA reconoce que un pirata informático que obtiene credenciales de forma ilegal es poco probable que tenga el dispositivo del usuario a mano para recibir un código de autenticación. La autenticación multifactor usa dos o más factores de identificación, que a menudo incorporan identificadores biométricos avanzados como huellas dactilares o reconocimiento facial, para ofrecer una capa adicional de seguridad.
Gráfico de un icono que representa la autenticación multifactor junto a una cita de Businesswire, que dice «El mercado global de la MFA se valora en 12 900 millones de dólares y se espera que aumente a 26 700 millones de dólares para 2027».
  • Validación de la identidad

El concepto de un sistema de identidad digital universal para confirmar positivamente nuestra identidad en línea y en persona ha cobrado impulso a medida que mejoran los métodos de verificación. La combinación de algo que se sabe (contraseña), algo que se tiene (dispositivo) y algo que se es (factores biométricos como la huella dactilar) da lugar a un proceso de identificación altamente fiable y casi a prueba de fallos basado en la MFA. El estándar PCI DSS usa la garantía de identidad de la MFA para proteger el acceso a los datos del titular de la tarjeta.

  • Protección del trabajo a distancia

Con la creciente frecuencia de las prácticas de trabajo móviles y a distancia, es esencial verificar la identidad de los empleados que ingresan desde ubicaciones fuera del perímetro de la red de la empresa. La MFA ofrece esta capa adicional de autenticación del trabajador a distancia para evitar el acceso no autorizado si se pierden o roban dispositivos remotos de los empleados o si un trabajador a distancia usa una red WiFi pública sin el beneficio de una VPN para protegerlos del pirateo y las interceptaciones de datos.

  • Incorporación de factores biométricos

Los métodos de autenticación biométrica, como las huellas dactilares y el reconocimiento facial, que se usan en muchos dispositivos móviles, son solo la punta del iceberg, ya que la autenticación sin contraseña se convierte en la norma. Aunque los factores biométricos se usan con frecuencia como uno de dos o más identificadores de la MFA, tienen el potencial de liberar eventualmente a los usuarios y los equipos de TI de los procesos de creación, almacenamiento y protección de contraseñas que requieren mucho tiempo.     

  • Conformidad con PCI-DSS

La simple conformidad con los requisitos de PCI-DSS es razón suficiente para que las organizaciones que manejan información de tarjetas de crédito implementen la MFA, pero la mayoría ya reconoce las ventajas de esta práctica tanto para sí mismas como para sus clientes. La seguridad proporcionada por la MFA justifica la decisión del PCI DSS de exigirla para acceder a los datos de tarjetas de crédito, ya que puede compensar las deficiencias en la salud de las contraseñas, el almacenamiento y los controles de acceso.

Cómo Dashlane ayuda a proteger las contraseñas

El administrador de contraseñas de Dashlane es la solución de ciberseguridad ideal para ayudarle a cumplir con los requisitos de contraseñas de PCI al nivelar la salud de las contraseñas al tiempo que aumenta los conocimientos y la protección de los empleados. Las funciones de Dashlane que complementan los requisitos del PCI DSS incluyen:

  • Generación de contraseñas avanzada para garantizar que las contraseñas nuevas o revisadas sean siempre largas y complejas.
  • Autenticación de dos factores para ofrecer una capa adicional de seguridad para las cuentas seleccionadas.
  • Monitoreo de la Dark Web para escanear los huecos ocultos de Internet en busca de credenciales y datos privados de los empleados y alertarles si se detecta dicha información.
  • Arquitectura de conocimiento cero para garantizar que nadie, incluido Dashlane, pueda acceder nunca a los datos de los empleados no cifrados.
  • Una puntuación del análisis de contraseñas para rastrear las contraseñas débiles, comprometidas y reutilizadas de cada empleado.

Supervisar la puntuación del análisis de contraseñas es la forma más fácil de configurar y mejorar la seguridad de las contraseñas. Más información sobre cómo las credenciales débiles, reutilizadas o comprometidas afectan a su puntuación.


Referencias

  1. Consejo de normas de seguridad de la PCI, «About us», (Sobre nosotros), 2023.
  2. Dashlane, «9 Practical Password Security Best Practices», (Nueve prácticas recomendadas de seguridad de contraseñas), marzo de 2023.
  3. Credit.com, «Credit Card Fraud Statistics Everyone Should Know in 2023», (Estadísticas de fraude de tarjetas de crédito que todos deberían conocer en 2023), marzo de 2023.
  4. WEX, «What is PCI Compliance: A comprehensive guide», (Qué es la conformidad con la PCI: una guía exhaustiva), enero de 2023.
  5. Consejo de normas de seguridad de la PCI, «At a Glance: PCI DSS v4.0», (PCI DSS 4.0 de un vistazo), abril de 2022.
  6. Dashlane, «7 Password Hygiene Best Practices to Follow» (7 buenas prácticas de higiene de contraseñas), febrero de 2023.
  7. NetSec News, «Summary of the NIST Password Recommendations», (Resumen de las recomendaciones de contraseñas del NIST), noviembre de 2022.
  8. Dashlane, «Cree el caso para un administrador de contraseñas en 8 pasos», 2023.
  9. Dashlane, “¿Qué es un ataque de fuerza bruta?” Febrero de 2020.
  10. Dashlane, «Changing Passwords: Best Practices for Remote Workers», (Cambio de contraseñas: prácticas recomendadas para trabajadores a distancia), marzo de 2023.
  11. Dashlane, «Administración de contraseñas 101», 2023.
  12. Dashlane, «¿Qué es una frase de contraseña y cómo se puede crear una?», noviembre de 2022.
  13. Dashlane, «How to Stop Reusing Passwords for Good» (Cómo dejar de reutilizar las contraseñas para siempre), enero de 2020.
  14. Dashlane, «¿Qué es la encriptación?» marzo de 2019.
  15. Dashlane, «Guía completa de la autenticación multifactor», noviembre de 2022.
  16. Dashlane, «La autenticación de dos factores (2FA) en Dashlane», 2023.
  17. Dashlane, «Identidad digital 101: todo lo que necesita saber», abril de 2023.
  18. Dashlane, «¿Por qué necesita una VPN? No se pierda estas tres ventajas clave», agosto de 2020.
  19. Dashlane, «¿Qué es la autenticación sin contraseñas y por qué debería importarle?» noviembre de 2022.
  20. Dashlane, «Administrador de contraseñas personales de confianza», 2023.
  21. Dashlane, «Monitorización de la web oscura: sus empleados posiblemente usen contraseñas comprometidas», julio de 2022.
  22. Dashlane, «Profundización en la seguridad de conocimiento cero de Dashlane», 2023.
  23. Dashlane, «A look at Password Health Scores around the world in 2022», (Un vistazo a las puntuaciones del análisis de contraseñas en todo el mundo en 2022), 2022.
  24. Dashlane, «Todo lo que necesita saber sobre la puntuación del análisis de contraseñas de su contraseña», octubre de 2020.
  25. Dashlane, «7 Password Hygiene Best Practices to Follow» (7 buenas prácticas de higiene de contraseñas), febrero de 2023.

Regístrese para recibir noticias y actualizaciones acerca de Dashlane