Una nueva versión de la norma PCI DSS (Payment Card Industry – Data Security Standard), la 3.2, fue publicada el pasado 28 de abril por el PCI Security Standards Council (PCI SSC). La nueva PCI DSS 3.2 sustituye a la PCI DSS 3.1, la cual expirará el 31 de octubre de 2016.
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago es la guía sobre la cual se apoyan las empresas para proteger los datos de pago con tarjeta antes, durante y después de una compra y evitar los fraudes que involucran tarjetas de pago, ya sea de crédito o de débito.
Es recomendable que las empresas que aceptan, procesan o reciben pagos con tarjeta adopten la PCI DSS 3.2 para hacer frente a las crecientes amenazas a la información de pago del cliente y prevenir, detectar y responder a los ataques cibernéticos que puedan conducir a violaciones de datos de pago.
Los principales cambios en la nueva versión de PCI DSS son aclaraciones sobre los requisitos para los administradores, proveedores de servicios así como para los entornos de datos de tarjetahabientes o CDE (Cardholder Data Environment), que ayudan a las organizaciones a confirmar qué controles críticos de seguridad de datos permanecen durante todo el año, y que son probados con eficacia como parte del proceso continuo de supervisión de la seguridad. Un cambio significativo es la autenticación de múltiples factores como requisito para todo el personal con acceso administrativo a los CDE.
Según PCI DSS 3.2 las organizaciones deben centrarse en las personas, los procesos y las políticas, y con la tecnología jugando un rol importante para reducir la huella de los datos de los tarjetahabientes.
Cambios principales en PCI DSS 3.2:
- Se revisaron las fechas de expiración de SSL (Secure Sockets Layer) y TLS (Transport Layer Security) v1.0 como se indica en el Boletín sobre la migración de SSL y TLS a versiones seguras de TLS (v1.1 o superior).
- Autenticación multifactorial para los administradores que acceden al CDE.
- Pasos adicionales de validación de seguridad para los proveedores de servicios y otros, incluyendo el criterio DESV (Designated Entities Supplemental Validation), que antes era un documento separado.
- Necesidad de que los proveedores de servicios detecten y reporten los fallos de los controles críticos de seguridad.
- Se ha reducido la periodicidad de pruebas de penetración a los controles de segmentación de los proveedores de servicios. Antes era cada año, ahora será cada seis meses.
- Revisiones trimestrales de cumplimiento de las políticas de seguridad y procedimientos operativos.
- Enmascaramiento del número de cuenta principal (PAN) y sea mostrado sólo un mínimo de dígitos al realizar una función específica de negocios.