Pagos en línea más seguros: PCI DSS versión 4.0

Fecha de publicación
18/10/2022
Autor
Ignacio Porro Sáez (INCIBE)
Manos sujetando un cartel con el texto PCI DSS

El 31 de marzo de 2022 se publicó una nueva versión, la v4, del estándar de medios de pago, PCI DSS (Payment Card Industry Data Security Standard). Aunque convivirá un tiempo con la versión 3.2, todas las empresas que almacenan, procesan o transmiten datos de titulares de tarjetas bancarias (CHD) o datos de autenticación confidenciales (SAD), incluidos comerciantes, procesadores, adquisidores, emisores y proveedores de servicios, deberán adoptar el cambio como muy tarde antes del 31 de marzo de 2025.

¿Por qué aparece esta nueva versión? Era necesaria una actualización de la norma, ya que la última revisión, en 2018, se ha quedado obsoleta y no se ajusta con nuestra realidad. Esta nueva versión adopta un enfoque más amplio que se adapta mejor a la incorporación de las nuevas tecnologías en las empresas.

Timeline que muestra el periodo de transición de la v3.2 a la v4

- Timeline. Fuente: https://www.pcidssguide.com/whats-new-in-pci-dss-v4-0/ -

No importa la actividad a la que se dedique tu organización ni su tamaño, si procesas, guardas o transmites datos de tarjetas bancarias debes cumplir con la norma o corres el riesgo de perder tu licencia, de enfrentarte a rigurosas auditorías o de ser sancionado con el pago de elevadas multas.

El principal objetivo de esta nueva versión es abordar mejor los riesgos derivados de las tecnologías emergentes proporcionando nuevas formas de combatir las amenazas, además de adaptarse mejor a las necesidades que van apareciendo, así como a los entornos on premise y en la nube.

Pero, ¿cuál es el propósito de esta actualización?

  • Continuar haciendo frente a las necesidades de seguridad de la industria de pagos.
  • Promover la seguridad como un proceso de mejora continua.
  • Incorporar flexibilidad a las distintas metodologías que usan las empresas para alcanzar sus objetivos de seguridad y favorecer la innovación.
  • Reforzar los procedimientos de validación y las opciones de reporting para dar soporte a la transparencia y a la granularidad.

Y, ¿cuáles son los cambios más relevantes? Aunque no se han producido cambios significativos, cabe destacar los siguientes:

  • La implementación de la autenticación de múltiples factores (MFA), utilizando diferentes tecnologías para autenticar la identidad del usuario.
  • Las empresas tendrán que probar los controles de seguridad con mayor frecuencia para asegurarse de que funcionan correctamente y son eficaces.
  • Sustitución de la termino firewall (cortafuegos) por controles de seguridad de red, abarcando la seguridad y consiguiendo así una mayor flexibilidad.
  • El cifrado de datos pasa de ser una recomendación a ser una obligación en todos los entornos, debido al aumento de los incidentes de data leaks (fugas de información) y de la continua aparición de nuevas vulnerabilidades.
  • La mayor parte de los nuevos requisitos implican análisis de riesgos específicos.

Dentro de la página web oficial del Security Standards Council, organización que gestiona el estándar PCI DSS, podrás encontrar diferentes recursos que te serán de utilidad, como por ejemplo el glosario de términos, un resumen con los principales cambios de esta nueva versión o la propia normativa, entre otros.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad

Ir arriba