NIS2 y DORA en vigor. EU AI Act es el próximo — reserva una demo

PCI-DSS Pentest España: Pruebas de Penetración del Requisito 11.3 para el Sector de Pagos

El estándar PCI-DSS (Payment Card Industry Data Security Standard), en su versión 4.0 publicada en marzo de 2022 con plena vigencia obligatoria desde el 31 de marzo de 2024, establece en su Requisito 11.3 la obligación de realizar pruebas de penetración internas y externas al menos anualmente y después de cambios significativos en el entorno de datos de titulares de tarjetas (Cardholder Data Environment, CDE). En España, el sector de pagos con tarjeta incluye a las principales redes de procesamiento — Redsys (anteriormente ServiRed y Sistema 4B) y Euro 6000 — así como a los bancos adquirentes, entidades emisoras, pasarelas de pago y comercios que procesan transacciones con tarjeta. El incumplimiento del PCI-DSS puede resultar en la pérdida de la autorización para procesar pagos con tarjeta, sanciones económicas de las marcas de tarjetas (Visa, Mastercard) y responsabilidad en caso de violación de datos. Esta guía explica qué exige el Requisito 11.3 de PCI-DSS v4.0 y cómo realizar una prueba de penetración que satisfaga los requisitos.

Iniciar el pentest PCI-DSS
MW
Escrito por Malte Wagenbach
Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).
Última revisión: 17 de mayo de 2026

Por qué el PCI-DSS hace obligatorias las pruebas de penetración en el sector de pagos

El Requisito 11.3 de PCI-DSS v4.0 establece con claridad la obligación de pruebas de penetración regulares: «Las pruebas de penetración externas e internas se realizan al menos una vez al año y después de cualquier actualización o modificación significativa de infraestructura o aplicaciones». La especificidad técnica del Requisito 11.3 es notable: las pruebas deben cubrir tanto la capa de red como la capa de aplicación (incluyendo APIs y aplicaciones web), deben ser realizadas por personal cualificado con experiencia demostrable en pruebas de penetración, y los hallazgos deben remediarse con una nueva prueba de verificación. A diferencia de otros estándares, PCI-DSS v4.0 también introduce en el Requisito 11.3.2 la obligación de pruebas de penetración de los controles de segmentación de red — si la organización utiliza la segmentación de red para reducir el alcance del CDE, debe probarse anualmente que esta segmentación es efectiva. En España, la mayoría de las entidades que procesan transacciones con tarjeta están sujetas a PCI-DSS: bancos adquirentes, entidades emisoras, pasarelas de pago como Redsys, proveedores de TPV físicos y virtuales, plataformas de comercio electrónico que almacenan o procesan datos de tarjetas.

  • PCI-DSS v4.0 Requisito 11.3.1: pruebas de penetración externas al menos anuales y después de cambios significativos — deben cubrir la capa de red y la capa de aplicación del CDE, incluyendo todas las aplicaciones web accesibles desde Internet.
  • PCI-DSS v4.0 Requisito 11.3.1.1: pruebas de penetración internas al menos anuales — deben cubrir los sistemas internos del CDE y las interfaces entre el CDE y el resto de la red corporativa.
  • PCI-DSS v4.0 Requisito 11.3.2: prueba de segmentación de red — si se utiliza segmentación para reducir el alcance del CDE, debe probarse al menos cada seis meses (para proveedores de servicios) o anualmente (para comercios) que la segmentación es efectiva.
  • PCI-DSS v4.0 Requisito 11.3.1.2: resolución de vulnerabilidades identificadas en pruebas de penetración — los hallazgos deben remediarse conforme a la política de gestión de vulnerabilidades de la organización y el retestado debe confirmar la remediación.
  • Qualificación del tester (PCI-DSS v4.0 Req. 11.3.1): las pruebas deben ser realizadas por personal cualificado — interno (con independencia adecuada) o externo; los evaluadores externos deben demostrar experiencia específica en pruebas de penetración en entornos de pagos.
  • Alcance del pentest PCI-DSS: todas las aplicaciones de cara al cliente que formen parte del CDE o que puedan proporcionar acceso al CDE — aplicaciones de banca online con funcionalidad de pago, TPV virtuales, pasarelas de pago, APIs de procesamiento de transacciones.
  • Sanciones por incumplimiento PCI-DSS en España: las marcas de tarjetas (Visa, Mastercard) pueden imponer multas a los adquirentes españoles de 5.000 a 100.000 dólares al mes por incumplimiento continuado; en caso de violación de datos, las multas pueden ascender a millones y puede revocarse la capacidad de procesar tarjetas.

Qué cubre una prueba de penetración conforme a PCI-DSS v4.0 Requisito 11.3

  • Aplicaciones web del CDE (Requisito 11.3.1): todas las aplicaciones web accesibles desde Internet que forman parte del CDE o que pueden proporcionar acceso al mismo — pasarelas de pago, formularios de introducción de datos de tarjeta, portales de gestión de comercios.
  • APIs de procesamiento de transacciones: APIs REST/JSON y SOAP de procesamiento de pagos — OWASP API Top 10 (2023): API1 Broken Object Level Authorization (especialmente crítico para los endpoints de consulta de transacciones), API3 Broken Property Level Authorization.
  • Segmentación del CDE (Requisito 11.3.2): verificación de que los controles de segmentación de red son efectivos — prueba de que desde la red corporativa no se puede acceder al CDE sin pasar por los controles de segmentación (cortafuegos, WAF, microsegmentación).
  • Sistemas internos del CDE (Requisito 11.3.1.1): servidores de procesamiento de transacciones, bases de datos de datos de titulares de tarjetas (PAN, track data, CVV), sistemas de cifrado de datos de tarjeta (HSM, Point-to-Point Encryption).
  • Gestión de claves criptográficas (Requisito 3): verificación de la seguridad de la gestión de claves criptográficas para el cifrado de datos de tarjeta — CVE-2022-0778 (bucle infinito OpenSSL en verificación de certificados), verificación del uso de algoritmos aprobados por PCI-DSS.
  • Autenticación y control de accesos (Requisito 8): implementación de MFA para todos los accesos al CDE, gestión de cuentas privilegiadas, rotación de credenciales de servicio — CVE-2022-21449 (ECDSA Psychic Signatures, relevante para implementaciones de autenticación).
  • Configuración de sistemas y hardening (Requisito 2): verificación de la configuración de seguridad de los sistemas del CDE conforme a los estándares de hardening (CIS Benchmarks, PCI-DSS Req. 2.2) — detección de configuraciones por defecto no modificadas.
  • Seguridad de la transmisión de datos (Requisito 4): verificación del cifrado en tránsito de todos los datos de titulares de tarjetas — TLS 1.3 (RFC 8446), prohibición de TLS 1.0/1.1 y SSL, configuración del protocolo 3D Secure v2.x.
  • Monitorización y logging (Requisito 10): verificación de que los eventos de seguridad del CDE son correctamente registrados y auditados — cobertura del SIEM para eventos PCI-DSS relevantes, integridad de los registros de transacciones.
  • Gestión de vulnerabilidades (Requisito 6): verificación del estado de parcheo de los sistemas del CDE — CVE-2021-44228 (Log4Shell en aplicaciones Java de procesamiento de pagos), CVE-2023-44487 (HTTP/2 Rapid Reset en infraestructura web del CDE).

Ejemplo de hallazgo

Crítico

Datos de tarjeta (PAN) expuestos en logs de aplicación sin enmascaramiento

Durante la revisión de los sistemas de logging del entorno de procesamiento de pagos, se identificó que los logs de la aplicación registran los datos completos del titular de la tarjeta (PAN completo, nombre del titular, fecha de caducidad) en texto claro durante el procesamiento de transacciones. La exposición se produce en el log de depuración del middleware de procesamiento de transacciones, activado a nivel DEBUG en producción. Los logs son accesibles para cualquier usuario con acceso al sistema de gestión de logs centralizado (Elasticsearch/Kibana), incluidos los administradores de sistemas que no deberían tener acceso a datos de titulares de tarjetas conforme al principio de mínimo privilegio PCI-DSS. Se encontraron aproximadamente 120.000 registros de transacciones con PAN completo en los últimos 90 días. Esta situación constituye una violación directa del PCI-DSS Requisito 3.3.1 y del Requisito 10.3.3. CVE-2021-44228 (Log4Shell) ilustra cómo las vulnerabilidades en sistemas de logging pueden tener impacto catastrófico en entornos de procesamiento de pagos.

Corrección: Desactivar inmediatamente el logging a nivel DEBUG en producción — cambiar a nivel ERROR o WARN. Implementar enmascaramiento o truncamiento de PAN en todos los sistemas de logging conforme al PCI-DSS Requisito 3.3.1: solo los primeros 6 y los últimos 4 dígitos del PAN pueden almacenarse en logs. Revisar todos los sistemas de logging del CDE para identificar instancias adicionales de datos de tarjeta sin enmascarar. Implementar controles de acceso basados en roles en el sistema de gestión de logs centralizado — solo el personal de seguridad autorizado debe acceder a los logs del CDE. Evaluar si la exposición ha resultado en acceso no autorizado y activar el procedimiento de notificación de violación de datos de las marcas de tarjetas y del Banco de España (Art. 19 DORA).

Referencia: CVE-2021-44228 (Log4Shell, riesgo en sistemas de logging de pagos) · PCI-DSS v4.0 Requisito 3.3.1 (datos sensibles de autenticación) · PCI-DSS v4.0 Requisito 10.3.3 (integridad de logs) · OWASP A09:2021 Security Logging and Monitoring Failures · CWE-532 Insertion of Sensitive Information into Log File

Pentest PCI-DSS: comparación de opciones

Escaneo gratuitoMatproof SentinelConsultoría tradicional
Motor de escaneo automatizado✓ (vista previa 3 min)✓ Escaneo completo✗ Solo manual
Cobertura OWASP Top 10Parcial✓ Completa✓ Completa
Evidencia proof-of-exploit✓ Por hallazgo✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)✓ Automatizado✓ Manual
Informe PDF listo para auditoría✓ Inmediato✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes✓ Por despliegue✗ Encargo anual
Tiempo hasta el primer resultado~3 min~30 min escaneo completo2–4 semanas
Precio€0Desde €149€8.000–€25.000
Revisión de código fuente (SAST)✓ Plan Growth✓ En alcance
Pruebas de API (REST/GraphQL)✓ Automatizado✓ Manual

Ofertas de pentest conformes con PCI-DSS v4.0

Escaneo único
€149 pago único
  • 1 escaneo pentest completo
  • Hallazgos priorizados por IA con CVSS 3.1
  • Proof-of-exploit por hallazgo
  • Informe PDF listo para auditoría
  • Mapeo normativo (DORA, NIS2, ISO 27001)
Comprar escaneo único
Recomendado
Starter
€299 / mes
  • Escaneos ilimitados (hasta 3 dominios)
  • Monitorización continua
  • Integración CI/CD (GitHub, GitLab)
  • Todos los mapeos normativos
  • Soporte prioritario
Iniciar Starter
Growth
€799 / mes
  • Escaneos + dominios ilimitados
  • Pruebas autenticadas / White-Box
  • Pruebas de API e infraestructura cloud
  • Account manager de seguridad dedicado
  • SLA de respuesta en 24h
Contactar para Growth

Preguntas frecuentes sobre las pruebas de penetración PCI-DSS en España

¿Qué organizaciones españolas deben cumplir PCI-DSS?

Deben cumplir PCI-DSS todas las organizaciones que almacenan, procesan o transmiten datos de titulares de tarjetas de pago: bancos adquirentes (BBVA, Santander, CaixaBank como adquirentes de comercios), entidades emisoras de tarjetas, pasarelas de pago (Redsys, Euro 6000, Adyen ES), proveedores de terminales de punto de venta (TPV físicos y virtuales), plataformas de comercio electrónico que almacenan o procesan datos de tarjeta directamente, y proveedores de servicios que procesan datos de tarjeta en nombre de otras entidades. El nivel de cumplimiento requerido (SAQ o ROC con QSA) depende del volumen de transacciones procesadas anualmente.

¿Cuál es la diferencia entre los niveles de cumplimiento PCI-DSS y qué implica cada uno?

PCI-DSS establece cuatro niveles de conformidad basados en el volumen de transacciones anuales: Nivel 1 (más de 6 millones de transacciones Visa/Mastercard al año): requiere auditoría anual por QSA (Qualified Security Assessor), escaneo trimestral por ASV, y pruebas de penetración anuales. Nivel 2 (1-6 millones de transacciones): SAQ anual, escaneo ASV trimestral, pentest anual. Nivel 3 (20.000-1 millón de transacciones de comercio electrónico): SAQ anual, escaneo ASV trimestral. Nivel 4 (menos de 20.000 transacciones de comercio electrónico): SAQ anual recomendado. Los proveedores de servicios tienen sus propios niveles.

¿Qué novedades introduce PCI-DSS v4.0 respecto a v3.2.1 en materia de pruebas de penetración?

PCI-DSS v4.0, de plena vigencia desde el 31 de marzo de 2024, introduce varias novedades en el Requisito 11.3: mayor énfasis en la cobertura de APIs de pago (no solo aplicaciones web); el Requisito 11.3.2 ahora especifica que la prueba de segmentación debe realizarse por personal específicamente cualificado; los criterios de cualificación del tester son más detallados (experiencia documentable en entornos de pagos); mayor énfasis en el retestado tras remediación de hallazgos. También destacan los Requisitos 12.3.2 (análisis de riesgo personalizado para frecuencias de actividades) y 6.3.2 (inventario de software con bespoke/custom code) que tienen impacto en el alcance del pentest.

¿Puede Matproof Sentinel satisfacer el Requisito 11.3 de PCI-DSS?

Matproof Sentinel puede satisfacer los requisitos de pruebas de penetración automatizadas del Requisito 11.3 para organizaciones de Nivel 2, 3 y 4, y como componente de las pruebas de penetración de Nivel 1 en combinación con pruebas manuales. Los informes de Matproof Sentinel incluyen las referencias específicas al Requisito 11.3 de PCI-DSS v4.0, la metodología utilizada (OWASP Testing Guide, PTES), los hallazgos por severidad con CVSS 3.1, y el estado de remediación — los elementos que los QSA verifican durante las auditorías de cumplimiento PCI-DSS.

¿Qué es el escaneo ASV y se diferencia del pentest PCI-DSS?

El escaneo ASV (Approved Scanning Vendor) es un escaneo de vulnerabilidades de los componentes externos del CDE realizado por un proveedor aprobado por el PCI SSC (Consejo de Normas de Seguridad PCI), con una frecuencia mínima trimestral. Es diferente — y complementario — al pentest del Requisito 11.3: el escaneo ASV es automatizado y no incluye explotación activa de vulnerabilidades ni prueba de la capa de aplicación, mientras que el pentest del Requisito 11.3 incluye explotación activa, cubre tanto la capa de red como la de aplicación, y debe ser realizado por personal cualificado. PCI-DSS v4.0 requiere ambos: el escaneo ASV trimestral (Req. 11.2) y el pentest anual (Req. 11.3).

¿Cómo afecta DORA a las entidades financieras españolas que también deben cumplir PCI-DSS?

Las entidades financieras españolas que procesan pagos con tarjeta deben cumplir simultáneamente con DORA y PCI-DSS. En la práctica, los requisitos se complementan: DORA Art. 24 exige pruebas de penetración de los sistemas TIC de funciones esenciales, que incluyen los sistemas de procesamiento de pagos (sujetos también a PCI-DSS Req. 11.3). Una estrategia eficiente es diseñar el programa de pentest para satisfacer simultáneamente ambos estándares — mismo ejercicio de prueba con informes adaptados a las exigencias específicas de DORA y PCI-DSS. Matproof Sentinel genera informes con mapeo dual DORA/PCI-DSS.

¿Qué responsabilidades tiene un comercio español en caso de violación de datos PCI-DSS?

En caso de violación de datos de titulares de tarjetas, un comercio español puede enfrentarse a: multas de las marcas de tarjetas impuestas a través del banco adquirente (Redsys, bancos emisores) de 5.000 a 100.000 dólares; costes de investigación forense (PFI, PCI Forensic Investigator) de 20.000 a 100.000 euros; emisión de nuevas tarjetas comprometidas a cargo del comercio (hasta 10-25 euros por tarjeta); pérdida de la capacidad de procesar pagos con tarjeta; notificación a la AEPD conforme al Art. 33 RGPD si los datos comprometidos incluyen datos personales de titulares; y responsabilidad civil frente a los titulares de las tarjetas afectadas.

¿Con qué frecuencia deben probarse los controles de segmentación del CDE?

El Requisito 11.3.2 de PCI-DSS v4.0 establece la frecuencia de prueba de los controles de segmentación del CDE: para comercios (no proveedores de servicios), la prueba de segmentación debe realizarse al menos anualmente y después de cambios en los controles de segmentación. Para proveedores de servicios PCI-DSS, la frecuencia se incrementa a al menos cada seis meses y después de cambios en los controles de segmentación. La prueba de segmentación debe verificar que desde todas las redes fuera del alcance del CDE es imposible acceder a los sistemas del CDE a través de los controles de segmentación — no solo que las reglas de cortafuegos estén configuradas correctamente, sino que estas reglas son efectivamente aplicadas.

Temas relacionados

Profundiza — artículos relacionados del blog

Inicie su pentest PCI-DSS v4.0 Requisito 11.3

Obtenga en 3 minutos una primera evaluación de la seguridad de su entorno de datos de titulares de tarjetas. Matproof Sentinel genera informes de prueba de penetración con referencias explícitas al Requisito 11.3 de PCI-DSS v4.0, metodología documentada y clasificación de hallazgos conforme a los requisitos de los QSA, listos para el proceso de certificación PCI-DSS.

Iniciar el pentest PCI-DSS