Actualización de la norma PCI DSS: qué esperar para su organización.

La nueva versión PCI DSS v4.0 fue publicada el 31 de Marzo de 2022, por el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard).

Las organizaciones que procesan y operan dichos pagos de tarjeta de crédito (TDC), tienen hasta el primer trimestre de 2025 para adecuarse y cumplir plenamente con los 12 objetivos de control definidos en esta nueva versión del estándar PCI DSS v4.0. La versión actual permanecerá activa hasta marzo de 2024, y los nuevos requisitos inicialmente entrarán en vigor a partir del 31 de marzo de 2025.

1. Optimizar las técnicas de control y validación para lograr mayor claridad en la información de cumplimiento.
2. Promover el uso de seguridad en todas las fases de los procesos, haciendo énfasis en la importancia de la seguridad. Dejar de verla como un producto y verla como una necesidad.
3. Mejorar las prácticas de seguridad en la industria de pago. Éstas deben transformarse a medida que cambian las amenazas.
4. Aportar una mayor flexibilidad e integración con otras metodologías. Plantear rutas o roadmaps alternativos para lograr el mismo estándar.

Esta nueva versión del PCI DSS v4.0, que es de obligado cumplimiento, aporta mayor claridad para la industria y elimina el incierto que ha existido en versiones anteriores.

Por otro lado, reestructura su formato de contenido de redacción, donde se observa una clara definición de los términos; logrando así, una mayor orientación y compresión sobre los mismos.

A su vez, garantiza que el estándar esté actualizado con las tecnologías emergentes a través de sus controles;, protegiendo contra riesgos, amenazas, vulnerabilidades y cambios que están ocurriendo en la industria, y, reforzando así, la seguridad como un proceso continuo.

• Cuenta con 64 nuevos requerimientos, de los cuales 11 se aplican a proveedores de servicios, 53 a todas las entidades y 51 se consideran buena práctica.
• Roles y responsabilidades. Funciones asignadas claras para cada requerimiento, además de mostrar las responsabilidades del cliente.
• Gestión de autenticación más estrictos. La gestión de acceso e identidad (IAM) juega un papel base en la protección de los datos del titular de la tarjeta, y la nueva versión del estándar lo reconoce. El Uso de autenticación multifactor (MFA) para todas las cuentas que tienen acceso a los datos del titular de la tarjeta, no solo para los administradores que acceden al entorno de datos del titular de la tarjeta. El número mínimo de dígitos se ampliará de 7 a 12, mientras que el número de intentos de bloqueo se ampliará de 6 a 10. PCI DSS requiere que las posibles contraseñas se comparen con la lista de contraseñas incorrectas conocidas.
• Identificar los flujos de datos por etapas de pago. Mantener actualizados los diagramas e identificar todas las localizaciones donde la data es guardada, procesada y transmitida. Identificar las conexiones con entidades de terceros, etc.
• Evaluación y monitorización de los riesgos. Se fundamenta en identificar los activos que se deben proteger y controlar las amenazas a través de procesos automatizados de detección de eventos.
• Pruebas, técnicas y escaneo de vulnerabilidades. Quizás el cambio más significativo, todos los escaneos de vulnerabilidad interna deben ser autenticados, hacer revisiones periódicas de tecnología usada e implementar soluciones automatizadas.

Los 12 requisitos de PCI DSS no cambiaron fundamentalmente con la nueva versión, siguen siendo el pilar fundamental para proteger los datos de las tarjetas de pago.

No obstante, los requisitos se han rediseñado para centrarse en los objetivos de seguridad, para guiar cómo se deben implementar los controles de seguridad.

Principales requisitos por cumplir:

1. Instalar y mantener controles de seguridad de la red.
2. Aplicar configuraciones seguras a todos los componentes del sistema.
3. Proteger los datos de cuenta almacenados.
4. Proteger los datos del titular de la tarjeta con criptografía fuerte durante transmisión a través de redes públicas abiertas.
5. Proteger todos los sistemas y redes del software malicioso.
6. Desarrollar y mantener sistemas y software seguros.
7. Restringir el acceso a los componentes del sistema y los datos del titular de la tarjeta mediante la necesidad de saber.
8. Identificar usuarios y autenticar el acceso a los componentes del sistema.
9. Restringir el acceso físico a los datos del titular de la tarjeta.
10. Registrar y monitorear todos los accesos a los componentes del sistema y los datos del titular de la tarjeta.
11. Pruebas de seguridad de los sistemas y redes con regularidad.
12. Apoyar la seguridad de la información con políticas organizacionales y programas.

En conclusión, es una norma totalmente basada en la idea o mentalidad de Zero trust o cero confianza. Refleja una evolución completa y ayuda a las organizaciones de la industria del pago con el al cumplimiento regulatorio de las nuevas necesidades emergentes a las que se enfrentan día a día.

El objetivo final del cumplimiento PCI DSS v4.0 es garantizar que el estándar continúe satisfaciendo las necesidades de seguridad que están en constante cambio en la industria de servicios financieros.

Desde nuestra compañía te ayudamos en la migración o implantación del estándar de seguridad PCI DSS v4.0 a través de la herramienta GlobalSuite que te permite, entre otras ventajas:

• Llevar el control de cumplimiento de cada uno de los requisitos
• Gestionar las evidencias correspondientes
• Ahorro de tiempo en todos los procesos de hasta un 40%
• Reportes integrados para la toma de decisiones.

Comienza el camino hacia el éxito ahora. Solicitanos más información aquí