El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), que fue sometido a una actualización completa en marzo de 2022, ha sido revisado.

Esta revisión limitada, PCI DSS v4.0.1, refleja los comentarios de la comunidad e incluye varias correcciones y aclaraciones destinadas a mejorar la facilidad de uso y la eficiencia del estándar para las organizaciones que procesan, almacenan, transmiten o influencian la seguridad de los datos de tarjetas y/o datos de autenticación sensibles.

Dado que puede ser difícil mantenerse al día con los últimos cambios en los requisitos de cumplimiento como el PCI DSS, Secureframe se ha comprometido a mantener a los clientes informados sobre todos los cambios que podrían afectar su entorno y mantener la plataforma de Secureframe actualizada.

De acuerdo con esta misión, explicaremos los cambios realizados en PCI DSS 4.0.1 y lo que significan para su organización.

¿Qué es PCI DSS v4.0.1?

PCI DSS v4.0.1 es una revisión limitada del PCI DSS v4.0 que aborda comentarios y preguntas de las partes interesadas desde la publicación de la versión 4.0 en marzo de 2022. Esta revisión muestra el esfuerzo continuo por promover y mejorar la seguridad de los datos de pago y facilitar la adopción global de medidas de seguridad de datos consistentes.

Dado que PCI DSS 4.0.1 es una revisión limitada, no hay grandes cambios, como la adición o eliminación de requisitos. En cambio, esta última versión incluye correcciones de errores tipográficos y de formato, así como aclaraciones sobre el propósito y la intención de ciertos requisitos y políticas.

Cambios PCI DSS 4.0.1 de un vistazo

Todos los cambios en PCI DSS 4.0.1 se dividen en dos categorías:

1. Aclaración o Guía: Esto se refiere a todas las actualizaciones de redacciones, explicaciones, definiciones, guías adicionales y/o instrucciones destinadas a aumentar la comprensión o proporcionar información o guía adicional sobre un tema en particular. Este tipo de cambio constituye la mayor parte de los cambios en la versión 4.0.1.
2. Estructura o Formato: Esto se refiere a cualquier reestructuración de contenido, incluida la combinación, separación y renumeración de requisitos para alinear mejor el contenido.

Vamos a examinar estos cambios con más detalle a continuación.

Corrección o actualización de la denominación o formato

PCI DSS 4.0.1 incluye correcciones para errores tipográficos y otros errores menores, como títulos faltantes.

Por ejemplo, todas las instancias de la frase "afecta la seguridad del CDE" en la versión 4.0 se cambiaron a "afecta la seguridad de los datos del titular de la tarjeta y/o de los datos de autenticación sensibles" en la versión 4.0.1. Además, se actualizaron los procedimientos de prueba para alinearse con la redacción revisada de los requisitos en la versión 4.0.1.

El objetivo de estas correcciones y ajustes menores es mejorar la legibilidad y eficiencia del estándar.

Actualización de anexos y eliminación de plantillas

También hubo varios cambios relacionados con el glosario o el anexo G. Primero, todas las definiciones que estaban incluidas en las notas así como en el glosario fueron eliminadas en la versión 4.0.1. Las notas ahora se refieren al glosario.

Además, en la versión 4.0.1 hay referencias adicionales al glosario para términos recién definidos (como "excepción legal" y "visitante") así como para términos existentes que anteriormente no tenían referencias.

El otro cambio significativo afecta al anexo E. En la versión 4.0.1, las plantillas para el enfoque personalizado fueron eliminadas y el anexo señala que las plantillas están disponibles en el sitio web del PCI SSC.

Adición o aclaración de notas de aplicabilidad

En particular, PCI DSS 4.0.1 incluye notas de aplicabilidad actualizadas y aclarativas para varios requisitos, especialmente en cuanto a las notas de aplicabilidad. A continuación, proporcionamos una visión general de los cambios clave en la aplicabilidad:

Requisito 3: Protección de datos de cuenta almacenados

¿Quién está afectado?: emisores y empresas que apoyan servicios de emisión

El requisito 3.3.1 establece que los datos de autenticación sensibles (SAD) no deben almacenarse después de la autorización, ni siquiera cifrados, y el requisito 3.3.2 establece que los SAD almacenados antes de la autorización deben cifrarse con criptografía robusta. En PCI DSS 4.0 no estaba claro si los emisores y las empresas que apoyan servicios de emisión debían cumplir con estos requisitos.

PCI DSS 4.0.1 aclara que los requisitos 3.3.1 y 3.3.2 no se aplican a emisores y empresas que apoyan servicios de emisión si tienen un "propósito comercial legítimo y documentado" para almacenar los SAD.

Además, la versión 4.0.1 aclara que para las organizaciones que usan hashes de claves criptográficas para hacer que los números de cuenta principales (PAN) sean ilegibles para cumplir con el requisito 3.5.1, este requisito se aplica a los PAN almacenados tanto en almacenamiento primario (como bases de datos) como en almacenamiento secundario (como registros de auditoría).

Requisito 6: Desarrollo y mantenimiento de sistemas y software seguros

¿Quién está afectado?: organizaciones con vulnerabilidades críticas y de alto riesgo

En PCI 4.0, el requisito 6.3.3 establece que los parches/actualizaciones para vulnerabilidades críticas y de alto riesgo deben instalarse dentro de un mes de su lanzamiento. La versión 4.0.1 regresó al lenguaje de PCI DSS v3.2.1, que establece que la necesidad de instalar parches/actualizaciones dentro de los 30 días solo se aplica a vulnerabilidades críticas, no a las de alto riesgo.

¿Quién está afectado?: organizaciones que subcontratan o integran un servicio de pago de terceros.

El requisito 6.4.3 describe cómo se gestionan los scripts de pago en las páginas que se cargan y ejecutan en el navegador del consumidor. En PCI DSS 4.0 no estaba claro si esto se aplicaba a los comerciantes que integran páginas/formularios de pago de proveedores de servicios de terceros (TPSP) o procesadores de pagos. La versión 4.0.1 aclara que esto se aplica a estos comerciantes, pero la responsabilidad del cumplimiento de los scripts se comparte entre el comerciante y el TPSP, de modo que el comerciante posee los scripts y encabezados fuera del iframe incrustado del TPSP y el TPSP aquellos dentro del iframe incrustado.

Requisito 8: Identificar a los usuarios y autenticar el acceso a los componentes del sistema.

Quién se ve afectado: Organizaciones con cuentas de usuario que solo se autentican con factores de autenticación seguros contra phishing.

El requisito 8.4.3 establece que se implementará MFA para todos los accesos no consolidados al CDE. La versión 4.0.1 de PCI DSS añadió una excepción que establece que este requisito no se aplica a las cuentas de usuario que solo se autentican con factores de autenticación seguros contra phishing.

Requisito 12: Apoyar la seguridad de la información con políticas y programas organizativos.

Quién se ve afectado: Organizaciones que contratan a proveedores de servicios de terceros (TPSP) para almacenar, procesar o transmitir datos de cuentas o para gestionar componentes del sistema dentro del alcance en su nombre, así como los propios TPSP.

Las organizaciones pueden contratar a proveedores de servicios de terceros para almacenar, procesar o transmitir datos de cuentas o para gestionar componentes del sistema dentro del alcance en su nombre. El requisito 12.8 se ocupa de la gestión de estas relaciones TPSP y el requisito 12.9 trata sobre cómo los TPSP apoyan la conformidad PCI DSS de sus clientes.

La versión 4.0.1 de PCI DSS aclara varios puntos en relación con las relaciones entre clientes y proveedores de servicios de terceros (TPSP).

Por ejemplo, la versión 4.0.1 de PCI DSS aclara que, según el requisito 12.9.2, todos los TPSP están obligados a apoyar los requisitos de sus clientes con respecto a la información sobre el estado de conformidad PCI DSS del TPSP en relación con los servicios proporcionados a los clientes. Además, los TPSP que prestan servicios que cumplen con los requisitos PCI DSS de los clientes o que pueden afectar la seguridad de los datos de las cuentas de los clientes, también deben apoyar los requisitos de sus clientes con respecto a los requisitos PCI DSS que están a cargo del TPSP, a cargo del cliente y cualquier responsabilidad compartida entre el cliente y el TPSP.

¿Cuándo entra en vigor la versión 4.0.1 de PCI DSS?

La versión 4.0.1 del PCI DSS se publicó el 11 de junio de 2024 y es válida de inmediato. Hasta el 31 de diciembre de 2024, la versión anterior del PCI DSS—v4.0—también seguirá vigente, para dar tiempo a las organizaciones a adoptar la última versión del estándar.
Después del 31 de diciembre de 2024, la versión 4.0 del PCI DSS será retirada y la versión 4.0.1 será la única versión activa del estándar.

Cómo Secureframe puede ayudarte a cumplir con la versión 4.0.1 del PCI DSS

Ya sea que ya estés certificado PCI o estés buscando la certificación PCI por primera vez, debes seguir los siguientes pasos para comenzar la transición a la versión 4.0.1 del PCI DSS.
Primero, consulta el resumen de cambios de la versión 4.0 a la versión 4.0.1 del PCI DSS, que ya está disponible en la Biblioteca de Documentos del PCI SSC, para una comparación detallada.

Si eres cliente de Secureframe, puedes contactar a tu gerente de cumplimiento para una discusión detallada sobre tu entorno actual y tu alcance, para determinar exactamente qué controles se aplican a ti y cómo puedes implementarlos en tu entorno para cumplir con los cambios de la versión 4.0.1.

Luego puedes usar la plataforma de Secureframe para asignar tareas, controles y revisiones a los responsables, gestionar la finalización de las capacitaciones de concienciación sobre seguridad y la adopción de políticas, completar otros trabajos de preparación y resolver pruebas automatizadas con el apoyo de nuestros gerentes de cumplimiento. Los gerentes de cumplimiento de Secureframe también pueden realizar un análisis de brechas contigo antes de que tenga lugar tu auditoría, para que puedas estar seguro de que cumples con el PCI DSS v4.0.1 antes de que tu auditor realice la evaluación real.

Finalmente, puedes elegir a uno de nuestros QSAs asociados para realizar el trabajo de campo directamente en la plataforma.

Para obtener más información sobre cómo puedes cumplir con el PCI DSS v4.0.1 antes del 31 de diciembre de 2024, agenda una demostración hoy mismo con uno de nuestros expertos en productos.