Te contamos los principales cambios que tuvo este estándar internacional
¿Sabías qué PCI DSS se actualizó? Así es. El estándar que asegura que todas las transacciones con tarjetas sean seguras, decidió modernizarse. Aquí te platicamos un poco sobre esta nueva versión de PCI DSS.
Si ya cuentas con una certificación en este estándar de seguridad, tienes 24 meses para ponerte al día. La versión 4.0 de PCI DSS se publicó el pasado mes de marzo (2022), por lo tanto, tienes hasta el 31 marzo de 2024 para implementar los cambios.
Por otro lado, si aún no cuentas con esta certificación, ¡no te preocupes! Puedes seguir leyendo para entender de qué se trata, o puedes echarle un vistazo a estos artículos:
Ahora sí que sin más preámbulos, veamos cuáles fueron los cambios más significativos de la versión de PCI DSS 3.2.1 a la 4.0
PCI DSS con un enfoque personalizado
Comencemos con lo de mayor impacto.
El cambio más significativo entre las versiones 3.2.1 y 4.0 de PCI DSS es la introducción del concepto de enfoque personalizado (Customized Approach).
Antes, con el enfoque tradicional (ahora denominado “Enfoque Definido” – Defined Approach), los controles que debía aplicar eran definidos por el tipo de SAQ o ROC que aplicar a tu tipo de empresa.
Ahora, los controles serán definidos por tu asesor. Es decir, que sólo tendrás que cumplir con los controles que te apliquen a ti. Así, la implementación de PCI DSS será más personalizada, ya qué será diferente para cada negocio.
Lo bueno de este nuevo enfoque es que es más flexible y se puede adaptar a diferentes tipos de negocio. Dependiendo de lo que tu empresa necesita, puedes elegir entre ambos enfoques.
| Enfoque Definido | Enfoque Personalizado |
| Sigue el método tradicional de implementación y validación de PCI DSS. Utiliza los requisitos y procedimientos definidos en el estándar. | Se centra en el objetivo de cada requisito de PCI DSS (si es que le aplica a la empresa). Esto permite seleccionar el control que consideres más adecuado para la gestión de riesgo en tu entorno. No hay procedimientos de prueba definidos por ser una adaptación personalizada. |
Mismos requerimientos, nombres diferentes
Por otro lado, se cambiaron los nombres de los 12 requisitos.
| PCI DSS v3.2.1 | PCI DSS v4 |
| 1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta. | 1. Instalar y mantener controles de seguridad de la red. |
| 2. No utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. | 2. Aplicar configuraciones seguras a todos los componentes del sistema. |
| 3. Proteger los datos almacenados del titular de la tarjeta. | 3. Proteger los datos de la cuenta almacenados. |
| 4. Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas. | 4. Proteger los datos del titular de la tarjeta con criptografía sólida durante la transmisión a través de redes públicas abiertas. |
| 5. Proteger todos los sistemas contra el malware y actualizar periódicamente el software o los programas antivirus. | 5. Proteger todos los sistemas y redes del software malicioso. |
| 6. Desarrollar y mantener sistemas y aplicaciones seguras. | 6. Desarrollar y mantener sistemas y software seguros. |
| 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad empresarial de saber. | 7. Restrinja el acceso a los componentes del sistema y los datos del titular de la tarjeta según la necesidad comercial de saber. |
| 8. Identificar y autenticar el acceso a los componentes del sistema. | 8. Identificar usuarios y autenticar el acceso a los componentes del sistema. |
| 9. Restringir el acceso físico a los datos del titular de la tarjeta. | 9. Restringir el acceso físico a los datos del titular de la tarjeta. |
| 10. Rastrear y controlar todos los accesos a los recursos de la red y los datos del titular de la tarjeta. | 10. Registrar y monitorear todos los accesos a los componentes del sistema y los datos del titular de la tarjeta. |
| 11. Probar periódicamente los sistemas y procesos de seguridad. | 11. Pruebe la seguridad de los sistemas y redes con regularidad. |
| 12. Mantener una política que aborde la seguridad de la información para todo el personal. | 12. Apoyar la seguridad de la información con políticas y programas organizacionales. |
Otros cambios importantes
- Algunos controles del Anexo 3, se incorporan como controles regulares dentro de los 12 requisitos.
- Se alinearon los controles de autenticación con las guías de contraseñas y autenticación multifactor (MFA) de NIST; incluyendo la protección de cuentas críticas y la restricción del uso de contraseñas de un solo uso.
- Mejoraron los controles relacionados con automatizaciones o monitoreos. Por ejemplo: antes sólo se pedía gestionar logs (eventos) de los sistemas, ahora será necesario hacerlo mediante una herramienta SIEM (Security Information and Event Management).
- Los requisitos se escribirán como declaraciones basadas en resultados y enfocados en la implementación del control de seguridad como resultado final.
Conclusión
Esta nueva versión de PCI DSS trae varios cambios que afectarán la manera de obtener la certificación.
Sobre todo con la llegada del nuevo enfoque personalizado. Lo bueno de esto, es que ahora será mucho más fácil solo aplicar los controles que realmente tu empresa necesita. A final de cuentas, cada empresa es diferente y no todo le aplica a todos.
Por otro lado, se modificaron los nombres de los 12 requisitos de este estándar, y se integraron nuevos controles. Aunque bueno, en realidad, estos controles no son totalmente nuevos. La única diferencia es que antes era opcional aplicarlos, ya que se encontraban en el Anexo 3 de la normativa y no dentro de los 12 requisitos como tal.
Para terminar, si ya cuentas con tu certificación, tendrás que modificar, entre otros controles, la autenticación multifactor a las buenas prácticas de NIST y, contemplar un sistema para la gestión de logs.
Sabemos que puede parecer como un trabajo interminable pero tranquilo. Para eso estamos nosotros. Si tienes alguna duda, o piensas certificarte en PCI DSS no dudes en contactarnos.