Asegurar el futuro de los pagos: PCI SSC publica PCI Data Security Standard v4.0

El PCI Security Standards Council (PCI SSC), un foro global de seguridad de pagos, ha publicado hoy la versión 4.0 del PCI Data Security Standard (PCI DSS). PCI DSS es un estándar global que proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de la cuenta. PCI DSS v4.0 reemplaza la versión 3.2.1 para abordar las amenazas y tecnologías emergentes y habilitar métodos innovadores para combatir nuevas amenazas. El estándar actualizado y el documento resumen de cambios ya están disponibles a través de la página web PCI SSC.

Para proporcionar a las organizaciones tiempo para comprender los cambios en la versión 4.0 e implementar las actualizaciones necesarias, la versión actual de PCI DSS, v3.2.1, permanecerá activa durante dos años hasta que se retire el 31 de marzo de 2024. Una vez que los evaluadores hayan completado la capacitación en PCI DSS v4.0, las organizaciones pueden evaluar PCI DSS v4.0 o PCI DSS v3.2.1. El estándar también proporciona tiempo adicional para que las organizaciones implementen muchos de los nuevos requisitos. Se puede encontrar más información sobre el cronograma de implementación en el blog PCI Perspectives.

Los comentarios de la industria de pagos globales impulsaron cambios en el estándar. En el transcurso de tres años, más de 200 organizaciones proporcionaron más de 6.000 elementos de retroalimentación para garantizar que el estándar continúe cumpliendo con el panorama complejo y en constante cambio de la seguridad de pagos.

«La industria ha tenido una visibilidad y un impacto sin precedentes en el desarrollo de PCI DSS v4.0», explicó Lance Johnson, director ejecutivo de PCI SSC. «Nuestras partes interesadas proporcionaron aportes sustanciales, perspicaces y diversos que ayudaron al consejo a avanzar de manera efectiva en el desarrollo de esta versión del estándar de seguridad de datos PCI».

Las actualizaciones del estándar se centran en satisfacer las necesidades de seguridad en evolución de la industria de pagos, promover la seguridad como un proceso continuo, aumentar la flexibilidad para las organizaciones que utilizan diferentes métodos para lograr los objetivos de seguridad y mejorar los métodos y procedimientos de validación. Los detalles sobre las actualizaciones se pueden encontrar en el documento resumen de cambios de PCI DSS v4.0 en la página web PCI SSC.

Ejemplos de los cambios en PCI DSS v4.0 incluyen:

  • Terminología de firewall actualizada para los controles de seguridad de la red para admitir una gama más amplia de tecnologías utilizadas para cumplir con los objetivos de seguridad que tradicionalmente cumplen los firewalls.
  • Ampliación del Requisito 8 para implementar la autenticación multifactor (MFA) para todos los accesos al entorno de datos del titular de la tarjeta.
  • Mayor flexibilidad para que las organizaciones demuestren cómo están utilizando diferentes métodos para lograr los objetivos de seguridad.
  • Adición de análisis de riesgo específicos para permitir a las entidades la flexibilidad de definir la frecuencia con la que realizan ciertas actividades, según se adapte mejor a sus necesidades comerciales y exposición al riesgo.

«PCI DSS v4.0 responde mejor a la naturaleza dinámica de los pagos y al entorno de amenazas», indicó Emma Sutcliffe, vicepresidenta sénior y responsable de estándares de PCI SSC. «La versión 4.0 continúa reforzando los principios básicos de seguridad al tiempo que proporciona una flexibilidad superior para permitir mejor las diversas implementaciones de tecnología. Estas actualizaciones cuentan con el respaldo de una guía adicional para ayudar a las organizaciones a proteger los datos de las cuentas ahora y en el futuro».

Además del estándar actualizado, los documentos de respaldo publicados en la biblioteca de documentos del PCI SSC incluyen el resumen de cambios de PCI DSS v3.2.1 a v4.0, la plantilla de informe de cumplimiento (ROC) v4.0, certificaciones de cumplimiento de ROC (AOC) y Preguntas frecuentes de la República de China. Los cuestionarios de autoevaluación (SAQ) se publicarán en las próximas semanas.

Para respaldar la adopción global de PCI DSS, el estándar y el Resumen de cambios se traducirán a varios idiomas. Estas traducciones se publicarán en los próximos meses, entre marzo y junio de 2022.

El consejo proporcionará información adicional a lo largo del año para ayudar a la comunidad a comprender los cambios realizados en la norma. Esto incluye el PCI DSS Symposium, un evento educativo en línea disponible el 21 de junio de 2022 para miembros de la comunidad PCI SSC. La capacitación para evaluadores estará disponible en junio. Para obtener un cronograma de las sesiones de capacitación de asesores, consulte la página de recursos de capacitación del PCI SSC.

Ir arriba