PCI DSS 4.0: cambios y cómo cumplir

25 de mayo de 2023

Introducción

Las transacciones con tarjetas de pago son una parte integral de la actualidad comercio electrónico. Ambos comerciantes y los consumidores confían cada vez más en estos métodos de pago electrónico, lo que plantea la cuestión de cómo se protegen los datos confidenciales del titular de la tarjeta. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto completo de pautas introducidas para proteger los datos del titular de la tarjeta durante cada paso de procesando pago.

En marzo de 2022, el PCI Security Standards Council (PCI SSC) lanzó la última versión PCI DSS 4.0, que entrará en vigencia el 31 de marzo de 2024. PCI DSS 4.0 se creó con el propósito de abordar la amenaza en constante evolución de los ataques cibernéticos y mejorar medidas de seguridad de datos.

En este artículo, conozca los elementos clave de PCI DSS 4.0, los cambios más notables y cómo cumplir con esta versión más reciente.

pci dss 4 0 cambios y cómo cumplir

PCI DSS v4.0: ¿Qué está cambiando?

En respuesta a las tendencias actuales de ciberseguridad y los avances tecnológicos, PCI DSS 4.0 adopta una visión más amplia de la seguridad. Esto significa que las organizaciones pueden diseñar y utilizar sus propios sistemas de seguridad personalizados, siempre que cumplan con el requisito general de protección de datos.

Estos son algunos de los cambios sobresalientes que PCI DSS 4.0 introduce en un intento de abordar los desafíos de seguridad emergentes.

1. Flexibilidad de implementación

Si bien PCI DSS 3.2.1 y las versiones anteriores dictaban estrictamente cómo se debía implementar la seguridad de los datos del titular de la tarjeta, la nueva versión brinda más flexibilidad con respecto a las formas en que las organizaciones logran estos objetivos de seguridad. Los nuevos estándares permiten a las empresas crear sus propios controles y mecanismos, teniendo en cuenta su perfil de riesgo e infraestructura.

Las organizaciones aún deben definir sus controles, explicar cómo operan, cómo se mantienen y describir cómo cumplen con los objetivos de seguridad prescritos. Estas soluciones de seguridad también deben someterse a procedimientos formales de evaluación de riesgos.


Nota: Los comerciantes que deseen procesar pagos electrónicos deben cumplir con PCI. Obtenga más información sobre lo que se necesita en nuestro artículo. Lista de verificación de cumplimiento de PCI para comerciantes.


2. Seguridad

El término amplio de seguridad se refiere a todas las partes del sistema que garantizan la protección de los datos del titular de la tarjeta en el procesamiento de pagos en línea, tales como:

  • Seguridad del software. PCI DSS 4.0 destaca la importancia de las prácticas seguras de desarrollo de software. Enfatiza la necesidad de codificación de seguridad, escaneo regular de vulnerabilidades y pruebas de penetración para garantizar la solidez de las aplicaciones que manejan datos de tarjetas de pago. Además, se enfoca en la velocidad como un rasgo esencial del desarrollo de software más inteligente y el acceso controlado por parte de terceros para disminuir el área de vulnerabilidad.
  • Configuración segura del sistema. La versión actualizada incluye requisitos adicionales para la configuración segura del sistema que prueba las vulnerabilidades para evitar la evolución de las ciberamenazas. Brinda una guía más detallada sobre prácticas de configuración seguras y enfatiza la importancia de actualizar y aplicar parches regularmente a los sistemas en toda la organización.
  • Controles de seguridad de la red. Las palabras "cortafuegos” y “enrutador” se reemplazaron por el término “controles de seguridad de la red” para que se incluyan otras tecnologías (p. ej., sistemas de virtualización/contenedores, controles de acceso a la nube, dispositivos virtuales, etc.).
  • Computación en la nube. El uso de la computación en la nube se ha incrementado significativamente en los últimos años. Sin ser prescriptivo, PCI DSS 4.0 brinda orientación sobre cómo se deben usar los servicios en la nube y la tecnología basada en la nube para lograr los objetivos de seguridad.
  • Fortaleza de la contraseña y autenticación. PCI DSS 4.0 exige el uso de autenticación multifactor y la eliminación de contraseñas débiles para mejorar la autenticación de usuarios y mitigar los riesgos de acceso no autorizado.
  • Cifrado y criptografía. La última versión refuerza la importancia del cifrado y la criptografía al ampliar los requisitos relacionados con la gestión de claves, los algoritmos de cifrado y los protocolos criptográficos seguros.
  • Malware    La versión actualizada introduce un término específico de "malware" para eliminar la ambigüedad que existía en la versión anterior. El término se refiere no solo a todas las variantes de virus, sino también a códigos maliciosos, ransomware, spyware y otros tipos de ataques a la seguridad de los datos por parte de factores externos.
  • Pruebas de penetración. Este modelo introduce requisitos de pruebas de penetración más estrictos y detallados para identificar vulnerabilidades y garantizar controles de seguridad sólidos. Es importante destacar que las empresas ahora tienen que establecer y documentar su metodología de pruebas de penetración. También propone revisiones de los resultados de las pruebas y los esfuerzos cada 12 meses.
  • Procedimientos de seguridad actualizados. La última versión propone protocolos detallados para implementar controles de seguridad. También hace hincapié en los nuevos procedimientos para analizar la mejora, que ayudan a los auditores a comprobar el cumplimiento.
  • Nuevos protocolos de riesgo. La versión más reciente brinda soporte para que los miembros del equipo detecten riesgos y mejoren la seguridad general de los datos de los titulares de tarjetas.
  • Pruebas e informes periódicos. PCI DSS 4.0 refuerza la importancia de realizar pruebas periódicas en busca de infracciones y vulnerabilidades, así como informar sobre los hallazgos para mantenerse actualizado con todos los desarrollos.
  • Permisos actualizados. La versión más reciente insiste en permisos actualizados en las cuentas grupales, compartidas y públicas para todos los miembros del equipo cuando se trata de acceder a los datos de los titulares de tarjetas. Esto incluye compartir la información según sea necesario.

3. Evaluación y seguimiento de riesgos

PCI DSS 4.0 enfatiza la importancia de la evaluación continua de riesgos y la priorización de las medidas de seguridad en función de los riesgos identificados. Alienta a las organizaciones a implementar medidas que detecten y mitiguen amenazas de manera efectiva, y monitoreen continuamente el progreso en la detección de riesgos.

Si bien la versión anterior también requería una evaluación de riesgos, PCI DSS 4.0 cambia el enfoque a la evaluación y seguimiento específicos de sistemas El nuevo estándar requiere que las organizaciones implementen controles que evalúen cómo funcionan sus mecanismos de seguridad dentro de la postura de riesgo de la empresa. Estas evaluaciones deben realizarse periódicamente ya través de procedimientos formalizados y documentados.

4. Pruebas de control crítico

Al realizar pruebas de control crítico, las empresas pueden identificar debilidades en sus controles de seguridad y tomar las medidas necesarias para fortalecer su seguridad. Esto es crucial para mantener el cumplimiento con PCI DSS 4.0 y garantizar la protección de los datos del titular de la tarjeta frente a posibles amenazas e infracciones.

La versión más nueva enfatiza la frecuencia de las pruebas de control crítico. Las pruebas periódicas y continuas de los controles críticos son esenciales para una protección ininterrumpida contra amenazas cibernéticas. La frecuencia de las pruebas no debe ser un evento de una sola vez, sino un proceso continuo.

La principal diferencia con respecto a la versión anterior es que las pruebas de control crítico deben ser utilizadas por todas las empresas, y no solo por aquellas que se vieron comprometidas anteriormente.

5. Revisión e informes

PCI DSS 4.0 incluye requisitos específicos para revisar e informar como parte del mantenimiento del cumplimiento. Estos requisitos tienen como objetivo garantizar que la empresa evalúe regularmente sus métodos y soluciones de seguridad, monitoree las posibles vulnerabilidades y amenazas, y mantenga la documentación adecuada al respecto.

Los informes periódicos sobre las pruebas, la supervisión de los registros de acceso diarios y el análisis de los eventos de seguridad son necesarios para identificar y responder a los incidentes de seguridad de manera eficiente. Las empresas deben conservar documentación como políticas, procedimientos, inventarios de sistemas, diagramas y resultados de análisis de vulnerabilidades. Esto sirve como evidencia de cumplimiento durante las evaluaciones y muestra que la empresa está comprometida con la seguridad de los datos. Las empresas deben completar informes sobre el cumplimiento, cuestionarios de autoevaluación o certificaciones sobre el cumplimiento para este fin.

Nota: Para obtener más información sobre el cumplimiento de PCI DSS 4.0, consulte el Centro de recursos PCI DSS v4.0.

pci dss 4 0 cambios

¿Cómo lograr el cumplimiento de PCI DSS v4.0?

El primer paso que todas las empresas deben dar para lograr el cumplimiento de PCI DSS 4.0 es comenzar a trabajar con un procesador de pagos confiable, comerciante adquirente, o un proveedor de servicios de pago. Este es un requisito básico para procesar pagos electrónicos de forma segura mientras protegiendo la información del cliente.

Estos son los pasos para cumplir con PCI DSS 4.0 que cada comerciante debe seguir:

  1. Comprender los requisitos. Los comerciantes deben familiarizarse con todos los estándares PCI DSS 4.0. Pueden informarse a través del PCI Security Standards Council para obtener una comprensión clara de cómo cumplir con los requisitos y proteger los datos de los clientes.
  2. Compara pólizas. Los comerciantes deben comparar las nuevas políticas y estándares con los que están siguiendo. Esto garantiza que cada parte de su sistema se actualice en consecuencia cuando ocurra la transición a la versión más reciente.
  3. Establecer un equipo. Los comerciantes deben crear un equipo que estará a cargo de actualizar las políticas y los procedimientos de seguridad para alinearlos con la última versión. También realizarán verificaciones periódicas de implementación y mitigación de riesgos.
  4. Proteja los datos comprometidos. Si ocurre una infracción, los comerciantes deben actuar con rapidez y eliminar los datos confidenciales de los clientes de sus sistemas para evitar daños mayores.
  5. Examinar los sistemas de datos. Los comerciantes deben evaluar y examinar continuamente todas las partes de su sistema para detectar amenazas y detectar vulnerabilidades.
  6. Supervisar y documentar las actividades. Los comerciantes deben monitorear y documentar todas las actividades de seguridad dentro de su organización para detectar acciones sospechosas de su personal o fallas en el sistema de seguridad.
  7. Revisar los protocolos de seguridad. Los comerciantes o terceros contratados en esta área deben evaluar periódicamente los protocolos de seguridad para comprobar su eficacia e implementar nuevas versiones cuando se introduzcan.
  8. Actualizar el equipo. Los comerciantes deben actualizar periódicamente a los miembros del equipo sobre los nuevos desarrollos en la protección de datos cibernéticos, incluidas las políticas, los protocolos y las actualizaciones del sistema.

Preguntas frecuentes sobre PCI DSS v4.0

Estas son las preguntas y respuestas más frecuentes sobre PCI DSS 4.0.

1. ¿Qué es PCI DSS 4.0?

PCI DSS 4.0 es la última versión del estándar de seguridad de datos de la industria de tarjetas de pago. Establece requisitos para que las empresas manejen los datos de las tarjetas de pago y garanticen el almacenamiento, el procesamiento y la transferencia seguros de la información del titular de la tarjeta.

2. ¿Cuáles son los cambios clave en PCI DSS 4.0 en comparación con la versión anterior (PCI DSS 3.2.1)?

Los cambios clave que propone PCI DSS 4.0 incluyen mayor flexibilidad, opciones de personalización, énfasis en la evaluación de riesgos, configuración segura del sistema, autenticación multifactory cifrado.

3. ¿Cuándo se lanzó PCI DSS 4.0 y cuándo será obligatorio?

La versión PCI DSS 4.0 se lanzó en el primer trimestre de 1. PCI SSC ha determinado un período de transición de dos años, de marzo de 2022 a marzo de 2022, lo que da a las empresas tiempo para ajustar sus sistemas para cumplir con la última versión. Durante este período, la versión anterior (PCI DSS 2024) seguirá estando operativa.

Después del 31 de marzo de 2024, todas las empresas deberían haber completado la transición a PCI DSS 4.0, ya que la versión anterior ya no estará activa.

4. ¿Cómo puedo verificar si cumplo con PCI DSS 4.0?

Existen varios métodos para que los comerciantes verifiquen su cumplimiento con PCI DSS 4.0. Incluyen cuestionarios de autoevaluación (SAQ), auditorías externas realizadas por asesores de seguridad calificados, análisis de vulnerabilidades y pruebas de penetración. El método más adecuado depende del tamaño de la empresa, la industria y el volumen de transacciones.

5. ¿Existen nuevos requisitos para la computación en la nube en PCI DSS 4.0?

Sí, hay nuevos requisitos para la computación en la nube en PCI DSS 4.0. Hacen hincapié en la necesidad de evaluar la responsabilidad compartida entre el proveedor de servicios en la nube y la organización que utiliza los servicios en la nube. También brinda orientación sobre cómo seleccionar, implementar y monitorear los controles de seguridad basados ​​en la nube.

6. ¿Cuáles son las sanciones por incumplimiento de PCI DSS 4.0?

pci dss 4 0 multas

El incumplimiento de PCI DSS puede tener varias consecuencias, incluidas multas, aumento de las tarifas de transacción, pérdida de los privilegios de pago con tarjeta, daño a la reputación y posibles responsabilidades legales.

7. ¿Están exentas las pequeñas empresas del cumplimiento de PCI DSS?

Se requiere el cumplimiento de PCI DSS para todas las empresas que deseen procesar pagos electrónicos, independientemente de su tamaño. Sin embargo, las pequeñas empresas pueden ser elegibles para un proceso de cumplimiento simplificado. Por ejemplo, pueden utilizar un cuestionario de autoevaluación en lugar de una auditoría formal.

Conclusión

El cumplimiento de PCI DSS 4.0 es esencial para todas las empresas que procesan pagos electrónicos. Esta última versión proporciona actualizaciones que contribuyen a una mayor seguridad de los datos y abordan las ciberamenazas emergentes. Los comerciantes deben mantenerse informados sobre las nuevas políticas y desarrollos del PCI Security Standard Council para asegurarse de que están implementando las últimas prácticas en seguridad de datos cibernéticos.

Acerca del autor.
Anastazija Spasojevic
Anastazija Spasojevic es especialista en contenido con conocimientos expertos en finanzas, comercio electrónico y procesamiento de pagos. Luego de graduarse en periodismo y relaciones internacionales, se interesó en temas de fintech, economía mundial y banca en línea.
Hable con un especialista en asistencia comercial