El 31 de marzo de 2022, el PCI Security Standards Council (PCI SSC), consejo que se encarga de supervisar el Estándar de seguridad de datos de la industria de tarjetas de pago cuyas siglas son PCI DSS, ha publicado la nueva versión, ahora 4.0, misma que sustituirá a la 3.2.1. y cuyos objetivos primordiales será el abordar las amenazas y las tecnologías emergentes, así como habilitar métodos innovadores para combatir nuevas amenazas.
Esta nueva versión de PCI DSS 4.0 se puede consultar en un documento de 360 páginas, creado a través de la colaboración de más de 200 miembros del sector y el cual también puede ser consultado en su versión resumida.
Entre los cambios más relevantes en la norma PCI DSS se encuentran:
La implementación de la autenticación de múltiples factores (MFA) que utiliza múltiples tecnologías para autenticar la identidad de un usuario aplicado a los recursos de datos de titulares de tarjetas.
La sustitución de la terminología de “Firewall” por “controles de seguridad de red” para abarcar más tecnologías de seguridad y tener más flexibilidad para que las organizaciones puedan validar diversas técnicas para lograr sus objetivos de seguridad, con la finalidad de adaptarse mejor a sus requerimientos comerciales y su nivel y tipo de riesgo.
Gran parte de los nuevos requisitos implican análisis de riesgos específicos.
Se anunció también que las traducciones de los documentos mencionados se encontrarán disponibles entre marzo y junio de 2022.
Cabe mencionar que la versión 3.2.1 del estándar PCI DSS permanecerá vigente hasta el 31 de marzo de 2024. El Consejo señaló que algunos de estos nuevos requerimientos iniciales se refieren a mejores prácticas. Posteriormente, a partir del 31 de marzo ya serán consideradas en su totalidad.
“Era necesaria una evaluación en la norma, ya que la última actualización se había realizado en 2018 y ya no se adaptaba a nuestra realidad. Ahora, el estándar adopta un enfoque más amplio”, comentó Omar Cruz, Consulting Manager Latam de Nordstern Technologies NCS. “Esta nueva versión de PCI DSS se adapta más a las nuevas necesidades, a entornos on premise y entornos cloud, la normativa anterior 3.2.1, estaba más enfocada y limitada a on promise.”
El Consejo también ha hecho públicos una serie de recursos audiovisuales para que la comunidad comprenda de mejor manera los cambios generados en la norma. Mismos que le compartimos a continuación para que pueda consultarlos.
VIDEO: "First Look at PCI DSS v4.0" — Representantes del Council discuten cambios clave en el Estándar.
DOCUMENTO PDF: "PCI DSS v4.0 At a Glance" — Resumen del documento sobre los cambios a PCI DSS v4.0
PODCAST: "Coffee with The Council: A Preview of the PCI DSS v4.0 and Transition Training" — Podcast con representantes del Consejo discutiendo qué esperar con PCI DSS v4.0 e información de capacitación para asesores.
Nordstern Technologies • NCS cuenta con un equipo de QSA’s, consultores y auditores, quienes pueden ayudar a tu organización en todo el proceso de certificación en PCI DSS.
La experiencia de nuestro equipo y nuestra alianza estratégica con S21Sec España, nos convierte en una de las pocas organizaciones en Latinoamérica capaces de cubrir la ruta completa de consultoría, auditoría y certificación PCI DSS.
Si estás interesado en recibir una consultoría personalizada o más información al respecto, contáctenos dando clic aquí, escríbanos a comunicacion@nordsterntech.com, o llámanos al 55 3407 0724 y le atenderá un experto.
