FRAMEWORK · PCI-DSS v4.0

PCI-DSS v4.0.
Para quien procesa tarjetas.

Si tu empresa procesa, almacena o transmite datos de tarjetas (TPVs físicos, e-commerce, terminales POS), PCI-DSS v4.0 es obligatorio. Itamite cubre los requisitos técnicos sobre endpoints (Req. 5, 6, 7, 8, 10, 11.5) con evidencia firmada para tu QSA.

Ver precios Demo PCI-DSS

Niveles PCI según volumen

Level 1: > 6M transacciones/año. Auditoría QSA anual obligatoria + ASV scan trimestral. Level 2: 1-6M transacciones. SAQ (Self Assessment Questionnaire) anual + ASV scan trimestral. Level 3: 20K-1M e-commerce. SAQ anual + ASV scan trimestral. Level 4: < 20K e-commerce o < 1M total. SAQ anual recomendado.

Multas por incumplimiento: 5.000-100.000 USD/mes según el banco adquirente. En caso de brecha: hasta 500.000 USD por evento + posible exclusión de procesamiento de tarjetas.

REQUISITOS PCI ↔ ITAMITE

Mapeo punto por punto

Req. 5 — Protección antimalware

Itamite verifica continuamente: AV instalado y operativo (5.2.1), AV actualizado <7 días (5.2.2), AV escanea automáticamente (5.2.3), no posibilidad de desactivar por usuario final (5.2.5). Compatible con CrowdStrike, SentinelOne, Defender, Sophos, ESET, Kaspersky.

Req. 6 — Sistemas y aplicaciones seguros

Detección de parches críticos pendientes (6.3.3), inventario de software con versiones (6.2), software EOL alertado, vulnerabilidades CVE conocidas en software detectado (6.2.4).

Req. 7 — Restricción acceso por función

Detección cuentas administrador locales y su justificación (7.2), políticas de mínimos privilegios (7.2.2), revisión periódica accesos (7.2.4). Integración con AD/Azure AD para gestión centralizada.

Req. 8 — Identificación y autenticación

Política contraseñas (longitud, complejidad, caducidad — 8.3), MFA para acceso administrativo (8.4), detección de cuentas inactivas, cuenta Guest disabled. Auditoría completa de logins.

Req. 10 — Registro y monitorización

Auditoría inmutable hash-chain de toda actividad administrativa (10.2), retención mínima 1 año con 3 meses inmediatamente accesibles (10.5.1), sincronización tiempos NTP (10.6), revisión diaria automática de logs (10.4.1).

Req. 11.5 — Detección cambios no autorizados

Itamite detecta cambios en configuración crítica de cada equipo, alertando ante modificaciones no autorizadas (11.5.2). Políticas declarativas que revierten cambios automáticamente.

PREGUNTAS FRECUENTES

Dudas sobre PCI-DSS

¿Itamite es PCI-DSS compliant?
Itamite NO almacena datos de tarjetas (PAN, CVV, etc) en sí. Por tanto el alcance PCI de la propia plataforma es limitado. Stripe (nuestro procesador de pagos) es PCI-DSS Level 1. Tu uso de Itamite no expande tu alcance PCI mientras solo lo uses para gestión de IT.
¿Cubre el escaneo trimestral ASV?
No directamente. ASV scan es un escaneo externo de vulnerabilidades web realizado por un Approved Scanning Vendor (Qualys, Tenable, Trustwave). Itamite es complementario: cubre estado interno de los endpoints, no el escaneo perimetral.
¿Y para entornos con TPVs físicos?
Especialmente útil. Cada terminal POS debe tener agente Itamite. Verificas continuamente: AV activo, parches al día, configuración correcta, sin software no autorizado. Reduces drásticamente el riesgo de skimming/POS malware.
¿El informe Itamite vale para QSA?
Sí, como evidencia técnica de los requisitos cubiertos. El QSA igualmente realizará sus propias verificaciones. Itamite reduce el tiempo de auditoría aportando evidencia preparada y firmada.
¿Cuánto reduce el coste de auditoría QSA?
Dependiendo del QSA y el alcance, típicamente 20-40% reducción en horas facturables al tener evidencia técnica preparada en formato directo. Algunos QSAs ya recomiendan a sus clientes herramientas como Itamite por agilidad del proceso.

¿Próxima auditoría PCI-DSS?

Demo orientada a tu nivel PCI con caso real de retail/e-commerce. Te enseñamos el informe técnico para QSA.

Ver precios Solicitar demo