Durante los últimos años hemos sido testigos de cómo ha ido cambiando el paradigma en el uso e implementación de los servicios de pago. Los cuales deben mantenerse alineados a los estándares de seguridad.
Como consultores y auditores de seguridad, hemos seguido estos nuevos conceptos y esperábamos su incorporación al nuevo estándar. Y, ya a principios de 2022, terminaron con esta espera y lanzaron PCI DSS versión 4.0.
Esta nueva versión es válida al mismo tiempo que la versión anterior 3.2.1. La razón de esto es que estamos atravesando un período de transición que permite que las empresas se vayan adaptando. Por lo tanto, ambas versiones son igualmente válidas hasta el 31 de marzo de 2024.
Desde ahora hasta el 31 de marzo de 2025, algunos de los requisitos de la versión 4.0 solo requieren un cumplimiento parcial y sugieren el cumplimiento total como una mejor práctica. Luego de esa fecha, todos los requisitos deberán estar en pleno cumplimiento.
Por favor, mire la línea de tiempo en la imagen a continuación:
Imagen de: PCI DSS v4.0 At-a-Glance: https://www.pcisecuritystandards.org/documents/PCI-DSS-v4-0-At-A-Glance.pdf
¿Cuál es el objetivo del nuevo PCI versión 4.0?
Desde 2017, Council PCI ha recibido comentarios de mejora a través de 3 RFCs (Requests for Comments), en la que han participado más de 200 empresas superando los 6000 ítems.
Esta nueva versión está basada en cuatro objetivos que el PCI SSC Council se ha propuesto:
- Continua adaptación a las necesidades de la Industria de pago.
- Promover la Seguridad como un proceso continuo.
- Incorporar Flexibilidad a las diferentes metodologías.
- Mejorar la validación de métodos y procedimientos de seguridad.
Estos objetivos surgen de comprender el crecimiento de los ataques cibernéticos y la necesidad de minimizar el nivel de riesgo al proteger los datos en el entorno de pago.
Debido a que muchas organizaciones son conscientes de la dinámica de trabajo y la seguridad, proponen diferentes métodos para cubrir los objetivos de seguridad propuestos por PCI, esto se ha escuchado y es el cambio más relevante de esta nueva versión, ya que permite incluir controles personalizados manteniendo en el objeto de control.
Reforzar la validación de los métodos y procedimientos de seguridad que se describen en los reportes de auditoria tales como RoC (Report on Compliance), o en el Cuestionario de Autoevaluación (Self-Assessment Questionarie) y en el resumen del AoC (Attestation of Compliance).
Recomendamos revisar el documento de cambios “PCI DSS Summary of Changes“, este les permitirá identificar los cambios entre la versión vigente y la anterior.
Para mas información:
PCI DSS v4.0: https://www.pcisecuritystandards.org/documents/PCI-DSS-v4_0.pdf
PCI DSS v4.0 Summary of Changes: https://www.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf
Press Release: Securing the future of payments: PCI SSC publishes PCI Data Security Standard v4.0
PCI DSS v4.0 Resource Hub: https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub
PCI DSS v4.0 At-a-Glance: https://www.pcisecuritystandards.org/documents/PCI-DSS-v4-0-At-A-Glance.pdf