En marzo del 2025 el PCI SSC publicó una nueva guÃa que cambiará totalmente el proceso de evaluación de controles de sus estándares, permitiendo el uso controlado de tecnologÃas de Inteligencia Artificial (AI) como soporte a los asesores QSA: Payment Card Industry (PCI) Integrating Artificial Intelligence in PCI Assessments – Guidelines.
Al margen de cual sea nuestra opinión acerca de la inteligencia artificial (AI), lo que sà es cierto es que es un concepto que está marcando una tendencia en el entorno tecnológico actual. Aunque las primeras aproximaciones en su desarrollo datan de la época de Alan Turing y la publicación de su artÃculo «Computing Machinery and Intelligence» en 1950, no es sino hasta hace relativamente pocos años en las que este concepto se masificó con la publicación de GPT (Generative Pre-trained Transformer) por parte de OpenAI y la introducción de sistemas de inteligencia artificial para el procesamiento de imágenes (Dall-E).
Actualmente, ya existen agentes de IA que pueden interactuar con su entorno y ejecutar tareas de forma autónoma siguiendo las instrucciones de un usuario o de otro sistema y era cuestión de tiempo para que estas herramientas entraran a formar parte del arsenal técnico empleado por los asesores de seguridad cualificados (Qualified Security Assessors – QSA) durante las evaluaciones de cumplimiento de los controles de los estándares del PCI SSC.
No obstante, habÃan muchas dudas respecto al uso de esta nueva tecnologÃa en las evaluaciones de cumplimiento. ¿Puede ser un QSA totalmente remplazado por una IA? ¿Qué tareas se pueden delegar a una IA y qué tareas no? ¿Qué restricciones éticas, legales y de seguridad deben implementarse para que esta tecnologÃa pueda ser usada de forma apropiada?. Por suerte, ya tenemos un documento básico de referencia: Payment Card Industry (PCI) Integrating Artificial Intelligence in PCI Assessments – Guidelines.
La inteligencia artificial es una herramienta, no es el Asesor
En este nuevo documento del PCI SSC se establecen los criterios básicos para la utilización de tecnologÃas de inteligencia artificial en las evaluaciones del PCI SSC. No obstante, lo primero que se deja claro es que las herramientas de inteligencia artificial no pueden asumir el rol de un asesor.
El asesor siempre debe monitorizar el proceso, hacer juicios crÃticos (incluyendo la decisión acerca del estado final de la evaluación), interpretar requerimientos complejos o problemas especÃficos del contexto, autorizar la publicación de reportes finales, ejecutar las inspecciones en sitio y garantizar la exactitud e integridad del informe final, mientras que las herramientas de IA pueden soportar actividades repetitivas tales como análisis de datos y revisión de documentación y logs.
Este documento también hace hincapié en el papel crucial de los evaluadores humanos en la validación de los resultados de la IA y la toma de decisiones finales sobre el cumplimiento, destacando que la IA es una herramienta que ayuda -no sustituye- a la experiencia y el juicio humanos.
Uso de tecnologÃas de inteligencia artificial en las evaluaciones
De acuerdo con la guÃa, cuando se emplean estas herramientas en evaluaciones de cumplimiento, es imprescindible establecer una comunicación clara con el cliente y establecer las tareas que serán delegadas a las herramientas de inteligencia artificial, dentro de las cuales se pueden incluir:
- Revisión automatizada de evidencias
- Creación de papeles de trabajo
- Soporte en entrevistas remotas (programación y transcripción de entrevistas)
- Soporte durante la creación de reportes finales
- Ejecución de tareas preliminares de revisión de calidad (QA)
Todas estas actividades siempre deben ser supervisadas por un asesor, quien debe ser el responsable final de las decisiones y conclusiones de la evaluación. Igualmente, es también responsabilidad de la empresa QSAC (QSA Company) evaluar regularmente las soluciones de IA verificando su exactitud, confiabilidad y alineación con los requerimientos del PCI SSC con el fin de detectar y corregir sesgos o errores.
PolÃticas y procedimientos para el uso de IA
Para que el uso de tecnologÃas de IA sean efectivas y seguras, es imprescindible que la empresa QSAC establezca polÃticas y procedimientos claros y detallados para el uso de IA con el objetivo de mantener la integridad, exactitud y seguridad del proceso de evaluación. En principio, los siguientes elementos deberÃan ser tenidos en cuenta:
- Cómo las soluciones de IA son usadas y validadas
- Procesos de selección y cualificación de sistemas de IA
- Tipos de evidencia que la IA puede procesar
- Consideraciones en la gestión de datos y su seguridad
Adicionalmente, debe quedar claro en los contratos con los clientes cómo serán tratados sus datos, incluyendo su uso para formación (training) de modelos de IA, a menos que se autorice explÃcitamente.
Final comments
Ya el PCI SSC lo aclara al principio de esta nueva guÃa: las tecnologÃas de IA están en pleno desarrollo y su uso se tendrá que ir adaptando a los cambios en este área. Si bien es cierto de que se trata de una guÃa inicial y bastante somera con recomendaciones a muy alto nivel, desde PCI Hispano echamos de menos un análisis más detallado de las implicaciones en términos de privacidad que implica el uso de tecnologÃas de IA en las evaluaciones de cumplimiento. Una vez se integra un agente de IA en el proceso de evaluación y se le da acceso a datos confidenciales (logs, polÃticas, evidencias, etc.), a través de inferencia y agregación es posible que se extrapolen otros datos sensibles de la organización a un tercero (el proveedor de la plataforma de IA), creando un nuevo punto de fallo susceptible a exfiltraciones, acceso no autorizado a datos, etc.

Amenazas de seguridad de los agentes de IA – Fuente: www.pillar.security
En ese caso, desde PCI Hispano recomendamos las siguientes acciones adicionales si se considera el uso de IA en procesos de evaluación:
- Analizar el uso de soluciones de Inteligencia Artificial (IA) dentro de la organización empleando marcos de referencia para la identificación y gestión de sus riesgos. En este caso, se puede hacer uso del marco de gestión de riesgos de IA del NIST (NIST AI Risk Management Framework – AI RMF), que incluye múltiples recomendaciones para el despliegue y uso seguro de estas tecnologÃas.
- Evitar que las soluciones de IA puedan procesar datos de tarjetas de pago. Si esto sucede, el proveedor de dichas soluciones también estará sujeto al cumplimiento de PCI DSS debido al procesamiento, almacenamiento y/o transmisión de datos de tarjeta.
- Validar el cumplimiento de normativas de privacidad y seguridad por parte de proveedores de soluciones de IA si sus servicios se encuentran en la nube. Esto es importante para el cumplimiento de legislaciones como GDPR.