Una nueva versión de la norma PCI DSS (Payment Card Industry – Data Security Standard), la 4.0, fue publicada el pasado 31 de marzo por el foro global de seguridad de pagos PCI Security Standards Council (PCI SSC).
PCI DSS es un estándar global que proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de la cuenta. Es la guía sobre la cual se apoyan las organizaciones para proteger los datos de pago con tarjeta antes, durante y después de una compra y evitar los fraudes que involucran tarjetas de pago, ya sea de crédito o de débito.
La nueva PCI DSS 4.0 sustituye a la PCI DSS 3.2.1 para abordar las amenazas y tecnologías emergentes y habilitar métodos innovadores para combatir nuevas amenazas. Para brindar a las organizaciones tiempo para comprender los cambios en la versión 4.0 e implementar las actualizaciones necesarias, la versión actual de PCI DSS, v3.2.1, permanecerá activa durante dos años hasta que se retire el 31 de marzo de 2024.
Las actualizaciones del estándar se centran en satisfacer las necesidades de seguridad en la evolución de la industria de pagos, promover la seguridad como un proceso continuo, aumentar la flexibilidad para las organizaciones que utilizan diferentes métodos para lograr los objetivos de seguridad y mejorar los métodos y procedimientos de validación.
Los cambios en PCI DSS v4.0 incluyen:
- Se actualizó la terminología de firewall para los controles de seguridad de la red, para admitir una gama más amplia de tecnologías utilizadas para cumplir con los objetivos de seguridad que tradicionalmente cumplen los firewalls.
- Ampliación del Requisito 8 para implementar la autenticación multifactor (MFA) para todos los accesos al entorno de datos del titular de la tarjeta.
- Mayor flexibilidad para que las organizaciones demuestren cómo están utilizando diferentes métodos para lograr los objetivos de seguridad.
- Adición de análisis de riesgo específicos para permitir a las entidades la flexibilidad de definir la frecuencia con la que realizan ciertas actividades, según se adapte mejor a sus necesidades comerciales y exposición al riesgo.
El estándar actualizado y el documento Resumen de cambios están disponibles en el sitio web de PCI SSC.