Hub México · PCI DSS
PCI DSS en México: preparación y cumplimiento continuo con QMA Certeza
Si tu organización almacena, procesa o transmite datos de tarjetas de pago en México —un banco, una fintech regulada por la CNBV, un retailer con e-commerce o una pasarela de pago— PCI DSS no es un trámite anual: es una disciplina de seguridad que debes sostener todos los días. QMA Certeza te acompaña a prepararte para la validación y a demostrar cumplimiento de forma continua, no solo la semana antes de la auditoría.
Desde 2026 la versión vigente es PCI DSS v4.0.1, y la transición a los nuevos controles obligatorios ya terminó: todo está en alcance. Eso cambia las reglas del juego. El estándar dejó de premiar el cumplimiento de “foto fija” y ahora exige seguridad como práctica habitual del negocio (business as usual): registros revisados, pruebas ejecutadas, accesos con MFA y evidencia que se acumula sola.
Aquí explicamos cómo te preparas y cómo demuestras cumplimiento continuo con QMA. Para el detalle técnico —los 12 requisitos, qué cambió en v4 y las fechas— te remitimos a nuestro artículo editorial especializado, enlazado más abajo. Importante: QMA no es un QSA ni certifica PCI; la validación la realizan un QSA o tú mismo vía SAQ/AOC, más escaneos de un ASV aprobado. QMA hace el readiness, reduce tu alcance y construye la evidencia.
Agenda tu diagnóstico PCI sin costo Conocer QMA Certeza
Por qué 2026 es distinto
En 2026 PCI DSS v4.0.1 (publicada el 11 de junio de 2024) es la única versión activa: v4.0 fue retirada el 31 de diciembre de 2024. La v4.0.1 solo aporta aclaraciones y no introduce requisitos nuevos respecto de v4.0. El punto clave es otro: los 51 requisitos que estaban “future-dated” como obligatorios desde el 31 de marzo de 2025 ya no son opcionales —la transición terminó y en 2026 todos están en alcance para tu evaluación.
Esto significa que la versión 4.x ya no se puede tratar como “lo nuevo que viene”, sino como el piso mínimo actual. Para el desglose completo de los 12 requisitos, los seis objetivos, qué cambió exactamente en v4 y el calendario de fechas, consulta nuestro artículo sobre PCI DSS 4 en México: requisitos y cambios.
A quién aplica en México
PCI DSS aplica a cualquier entidad que almacene, procese o transmita datos de titulares de tarjeta, y a los proveedores de servicio que puedan afectar la seguridad de esos datos. El alcance y la ruta de validación dependen de tu volumen anual de transacciones y de si eres comercio o proveedor de servicio. Estos son los perfiles más comunes en el mercado mexicano:
Bancos y emisores
Instituciones de banca múltiple y emisores que operan volúmenes altos; típicamente Nivel 1, con validación por QSA y ROC.
Fintech reguladas por la CNBV
IFPE, IFC y otras entidades del ecosistema de pagos que tocan datos de tarjeta; el nivel depende del volumen y del modelo de negocio.
Retail y e-commerce
Comercios físicos y tiendas en línea; suelen validar con SAQ y AOC, con el SAQ específico según cómo capturan y procesan el pago.
Pasarelas y proveedores de servicio
Gateways, agregadores y procesadores que tocan o pueden afectar datos de tarjeta de terceros; requisitos adicionales como proveedor de servicio.
El PCI SSC define cuatro niveles de comercio (1 a 4) según el volumen anual de transacciones, además de categorías específicas para proveedores de servicio. Saber con precisión tu nivel y tu ruta de validación es el primer paso del diagnóstico, porque determina el esfuerzo real de cumplimiento.
Enfoque QMA en 3 capas
No abordamos PCI como una lista de verificación que se llena una vez. Nuestro enfoque tiene tres capas que reducen alcance, aprovechan lo que ya tienes y mantienen la evidencia viva:
1. Reducir el CDE
Con segmentación y principios Zero Trust acotamos el entorno de datos de tarjeta (CDE). Menos alcance significa menos sistemas que auditar, menos controles que sostener y menos costo y riesgo. Reducir el CDE es la palanca de mayor impacto en toda la evaluación.
2. Integrar con ISO 27001
Muchos controles de PCI se solapan con tu SGSI de ISO 27001: gestión de accesos, políticas, gestión de vulnerabilidades, respuesta a incidentes. Preparas una vez y demuestras para dos marcos, en lugar de duplicar esfuerzo.
3. Evidencia continua
El giro de v4.x hacia seguridad como práctica habitual (BAU) —logging del requisito 10, pruebas del 11, desarrollo seguro del 6, MFA del 8— es precisamente lo que se demuestra mejor con evidencia que se genera sola, día a día, en QMA Certeza.
Solape de controles: prepara una vez
Si ya trabajas ISO 27001 (o piensas hacerlo), buena parte del esfuerzo se reutiliza. Estos son ejemplos de solape entre dominios:
| Tema de control | PCI DSS v4.x | ISO/IEC 27001 |
|---|---|---|
| Control de accesos y MFA | Requisitos 7 y 8 (MFA a todo el CDE) | A.5 y A.8 (control de acceso, autenticación) |
| Gestión de vulnerabilidades | Requisitos 6 y 11 (parches, pruebas) | A.8 (gestión técnica de vulnerabilidades) |
| Registro y monitoreo | Requisito 10 (logging y revisión) | A.8 (registro de eventos, monitoreo) |
| Respuesta a incidentes | Requisito 12 (plan de respuesta) | A.5 (gestión de incidentes de seguridad) |
| Análisis de riesgo | Análisis de riesgo dirigido (targeted) | Cláusula 6 (evaluación y tratamiento del riesgo) |
Rutas de validación
La validación formal de PCI DSS no la realiza QMA. Según tu nivel y perfil, sigues una de estas rutas, todas reconocidas por el PCI Security Standards Council (que mantiene el estándar desde 2006):
QSA y ROC
Para entidades de Nivel 1 (y proveedores de servicio que lo requieran), un Qualified Security Assessor (QSA) realiza la evaluación y emite el Report on Compliance (ROC). Es la ruta más exigente y la que más se beneficia de un buen readiness previo.
SAQ y AOC
Para comercios de menor volumen, la validación se hace mediante un Self-Assessment Questionnaire (SAQ) más un Attestation of Compliance (AOC). Existe un SAQ específico según cómo capturas y procesas los pagos.
Escaneos ASV trimestrales
Cuando aplica a tu entorno, los escaneos externos de vulnerabilidades los ejecuta un Approved Scanning Vendor (ASV) de forma trimestral. Es un componente recurrente, no un evento único.
Dónde encaja QMA
QMA no es QSA ni ASV y no certifica PCI. Hacemos readiness, gap analysis, reducción del CDE, construcción de evidencia y liaison con tu QSA y tu ASV para que llegues a la validación sin sorpresas.
Cumplimiento continuo y Certeza
El cambio de fondo en PCI DSS v4.x es que la seguridad debe ser una práctica habitual del negocio (business as usual), no un sprint anual. Los registros del requisito 10 deben revisarse, las pruebas del requisito 11 ejecutarse, el desarrollo seguro del requisito 6 sostenerse y la MFA del requisito 8 cubrir todo el acceso al CDE. Demostrar todo esto a mano, una vez al año, es frágil y costoso.
Con QMA Certeza conviertes ese trabajo en evidencia continua: la plataforma recolecta y organiza pruebas de control de forma constante, de modo que la “foto” para tu QSA o tu SAQ ya está construida cuando llega el momento. Pasas de correr detrás de la auditoría a mostrar un estado de cumplimiento vivo todo el año, que además sirve para reportar a tu consejo, a la CNBV cuando aplica a tu industria, y a tus socios comerciales.
Cómo te acompaña QMA
Nuestro acompañamiento es práctico y se ajusta a tu nivel y a tu ruta de validación. Esto es lo que hacemos contigo:
- Readiness PCI DSS v4.0.1: evaluamos qué tan listo estás para tu ruta de validación (QSA/ROC o SAQ/AOC) antes de comprometer fechas.
- Gap analysis contra los 12 requisitos: identificamos brechas concretas y las priorizamos por riesgo y esfuerzo.
- Scoping y reducción del CDE: definimos con precisión tu entorno de datos de tarjeta y lo acotamos con segmentación y Zero Trust.
- Construcción de evidencia continua: dejamos los controles del requisito 10, 11, 6 y 8 generando pruebas de forma sostenida en QMA Certeza.
- Liaison con QSA y ASV: coordinamos la evaluación y los escaneos trimestrales para que el proceso fluya sin fricción.
- Integración con ISO 27001: aprovechamos el solape de controles para que prepares una vez y cumplas para varios marcos.
El costo depende del alcance de tu CDE, tu nivel y tu ruta de validación; el diagnóstico inicial sin costo nos permite cerrar contigo un rango realista antes de cualquier compromiso.
Profundiza en los 12 requisitos
Esta página se enfoca en cómo te preparas y demuestras cumplimiento con QMA. Si lo que buscas es el detalle técnico —los 12 requisitos y los seis objetivos, qué cambió exactamente en la versión 4 (customized approach, MFA, análisis de riesgo dirigido, autenticación resistente a phishing), las fechas y el concepto de CDE— lo desarrollamos a fondo en nuestro artículo especializado:
Leer: PCI DSS 4 en México — requisitos, 12 controles y cambios v4
Preguntas frecuentes
¿Por dónde empiezo con PCI DSS?
Por un diagnóstico que defina con precisión tu nivel (1 a 4 o proveedor de servicio), tu ruta de validación (QSA/ROC o SAQ/AOC) y el alcance real de tu CDE. Sin ese mapa inicial, cualquier estimación de esfuerzo y costo es adivinanza. En QMA ese diagnóstico inicial es sin costo y cierra un rango realista.
¿Reducir el alcance del CDE baja el costo de verdad?
Sí, es la palanca de mayor impacto. Con segmentación y Zero Trust acotamos qué sistemas tocan datos de tarjeta; cuantos menos sistemas estén dentro del entorno de datos (CDE), menos controles hay que implementar, sostener y evidenciar, y menor es el esfuerzo de auditoría y el riesgo. Por eso lo abordamos al inicio.
¿Integran PCI DSS con mi ISO 27001?
Sí. Muchos controles se solapan —accesos y MFA, gestión de vulnerabilidades, logging, respuesta a incidentes, análisis de riesgo—. Aprovechamos ese solape para que prepares una vez y demuestres para ambos marcos, en lugar de duplicar trabajo y evidencia.
¿Cómo demuestro cumplimiento continuo y no solo una auditoría anual?
El cambio de PCI DSS v4.x hacia seguridad como práctica habitual (BAU) exige sostener controles todo el año: revisión de registros, pruebas, desarrollo seguro y MFA. Con QMA Certeza esos controles generan evidencia de forma continua, de modo que tu estado de cumplimiento está vivo y la foto para el QSA o el SAQ ya está construida cuando se necesita.
¿Coordinan al QSA y los escaneos del ASV?
Sí. Hacemos de liaison: preparamos la evidencia y el alcance, coordinamos la evaluación con tu QSA (cuando va por ROC) y los escaneos trimestrales con un ASV aprobado. QMA no es QSA ni ASV; nuestro rol es que llegues a esas instancias listo y sin sorpresas.
¿QMA certifica PCI DSS?
No. PCI DSS no se “certifica” como ISO; se valida mediante un QSA que emite un ROC (Nivel 1) o mediante SAQ más AOC para comercios menores, con escaneos de un ASV aprobado cuando aplica. QMA no es QSA ni ASV: hacemos readiness, gap analysis, reducción del CDE, evidencia y liaison para que tu validación salga bien.
¿Aplica a mi fintech regulada por la CNBV?
Si tu fintech almacena, procesa o transmite datos de tarjeta —o puede afectar su seguridad como proveedor de servicio— PCI DSS aplica, con independencia de tu regulación CNBV. El nivel y la ruta dependen de tu volumen y modelo. Lo bueno es que buena parte del esfuerzo se integra con tu gobierno de riesgo y tu ISO 27001.
¿Qué versión de PCI DSS rige en 2026 y dónde veo qué cambió?
En 2026 la única versión vigente es PCI DSS v4.0.1, y la transición a los controles obligatorios ya terminó: todo está en alcance. El desglose técnico de los 12 requisitos, los cambios de v4 y las fechas lo desarrollamos en nuestro artículo editorial sobre PCI DSS 4 en México; aquí nos enfocamos en cómo te preparas y demuestras cumplimiento.