Nuevos criterios de elegibilidad para el SAQ A: ¿Qué implica este cambio anunciado por el PCI SSC?

By Jaime Loaiza
31 Ene 2025

El 30 de enero de 2025, el PCI Security Standards Council (PCI SSC) anunció una actualización significativa que impacta directamente a los comerciantes que validan su cumplimiento a través del Self-Assessment Questionnaire A (SAQ A). Este anuncio marca un cambio relevante en los criterios de elegibilidad, lo que obligará a muchos negocios a reevaluar cómo cumplen con los requisitos del PCI DSS.

Históricamente, el SAQ A ha sido una opción utilizada por aquellos comerciantes que externalizan completamente la gestión de datos de tarjetas de pago a proveedores conforme al estándar PCI. Sin embargo, los recientes ajustes publicados en la página oficial del PCI SSC suprimen algunos controles que antes eran necesarios para calificar bajo el SAQ A correspondiente a la nueva versión v4.0.1.

Sin duda, estos cambios generan cierta incertidumbre sobre la aplicabilidad de algunos controles. Por este motivo, es fundamental que las empresas comprendan en detalle qué significan estos cambios y cómo podrían impactar a su proceso de cumplimiento.

Como compañía QSA especializada en Compliance, los expertos de A2SECURE han resaltado los aspectos clave que serán de gran utilidad para las empresas afectadas por este cambio.

¿Cuáles son los principales cambios de la actualización de la PCI V4.0.1?

Tras el proceso de análisis y la revisión de los comentarios efectuados por las partes interesadas de la industria del sector de medios de pago, el PCI Security Standards Council (PCI SSC) ha realizado actualizaciones específicas al SAQ A.

Estas actualizaciones se sintetizan en dos puntos clave; por un lado, la eliminación de requisitos y, por otro, la inclusión de un nuevo requisito de elegibilidad.

Eliminación de requisitos

Se han retirado dos controles que iban a ser considerados “obligatorios” por la entidad a partir del 31 de marzo de 2025:

  • 6.4.3. Todos los scripts de las páginas de pago que se cargan y ejecutan en el navegador del consumidor se gestionan de la siguiente manera:
    • Se implementa un método para confirmar que cada script está autorizado.
    • Se implementa un método para asegurar la integridad de cada script.
    • Se mantiene un inventario de todos los scripts con una justificación empresarial o técnica por escrito que explique su necesidad.
  • 11.6.1. El mecanismo de detección de cambios y manipulaciones se despliega de la siguiente manera:
    • Para enviar alertas al personal sobre modificaciones no autorizadas (incluyendo indicadores de situaciones comprometidas, cambios, adiciones y supresiones) en los encabezados HTTP que afectan la seguridad y en el contenido de script de las páginas de pago tal y como las recibe el navegador del consumidor.
    • El mecanismo está configurado para evaluar el encabezamiento HTTP y la página de pago recibidas.
    • Las funciones del mecanismo se realizan de la siguiente manera:
      • Al menos semanalmente
      • Periódicamente, (a una frecuencia definida en el análisis de riesgos específico de la entidad, el cual se desarrolla de acuerdo a todos los elementos especificados en el Requisito 12.3.1.)

En paralelo, se ha eliminado el requisito 12.3.1, también previsto como obligatorio a partir del 31 de marzo de 2025:

  • 12.3.1. Para cada requisito de PCI DSS que especifique completar un análisis de riesgo específico, se debe documentar el análisis e incluir:
    • Identificación de los activos a proteger.
    • Identificación de las amenazas contra las que protege el requisito.
    • Identificación de factores que contribuyen a la probabilidad y/o impacto de que se materialice una amenaza.
    • Análisis resultante que determine e incluya la justificación sobre cómo la frecuencia o los procesos definidos por la entidad para cumplir el requisito minimizan la probabilidad y/o el impacto de que se materialice la amenaza.
    • Revisión de cada análisis de riesgo específico al menos una vez cada 12 meses para determinar si los resultados siguen siendo válidos o si se necesita un análisis de riesgo actualizado.
    • Realización de análisis de riesgos actualizados cuando sea necesario, según lo determinado por la revisión anual.

NOTA: En el caso del SAQ A, este requisito sólo aplica a comercios que hayan elegido la opción de realizar un análisis de riesgos específico para definir la frecuencia con la que se realizan las funciones del mecanismo de detección de cambios y manipulaciones (requerimiento 11.6.1).

Nuevo requisito de elegibilidad: Confirmación de que la página web está libre de vulnerabilidades

El PCI SSC establece que, para que los comerciantes puedan eliminar algunos de los controles previamente requeridos, primero deben cumplir con una nueva condición.

Concretamente, la condición es confirmar que sus sitios web no son vulnerables a ataques mediante scripts que puedan comprometer sus sistemas de comercio electrónico.

Actualización PCI V4

A primera vista, esto podría parecer un requerimiento sencillo para aquellos negocios que encajan en la categoría de “solo eCommerce” -descrita en el SAQ A a través de la externalización total del formulario de pago a un proveedor PCI DSS-.

Sin embargo, según la experiencia de nuestros expertos QSA, este cambio conlleva un desafío considerable. Declarar que un sitio web está protegido es insuficiente para garantizar la seguridad de un comercio.

En este sentido, es necesario implementar medidas específicas que minimicen riesgos, como los ataques de eSkimming o la alteración de scripts. Este enfoque implica que los comercios realmente deben entender qué medidas tienen implementadas para protegerse frente a este tipo de ataques, antes de poder confirmar que su página es segura.

La actualización aplicada por PCI DSS redefine el cumplimiento exigiendo que los comercios refuercen sus controles preventivos para poder validar la condición de elegibilidad.

¿Cómo pueden los comercios afectados demostrar el cumplimiento PCI DSS?

En la actualidad, existen dos versiones para que los comercios afectados por la actualización puedan demostrar su cumplimiento PCI DSS:

  • Versión PCI DSS publicada en Octubre de 2024

En esta versión se incluyen los requerimientos considerados como buenas prácticas (6.4.3, 11.6.1 y 12.3.1) que iban a ser obligatorias a partir del 31 de marzo de 2025. Esta versión de SAQ A se retirará el 31 de marzo de 2025.

  • Versión PCI DSS publicada en Enero de 2025

En esta versión se retira la obligatoriedad de cumplimiento de los controles 6.4.3, 11.6.1 y 12.3.1, pero se añade el criterio de elegibilidad para que los comercios confirmen que su sitio web no es susceptible de sufrir ataques a través de scripts que puedan afectar a los sistemas de comercio electrónico del comerciante.

¿Cómo afecta a los comerciantes la nueva actualización?

Estos cambios representan un giro importante en la manera en la que muchos comerciantes abordaban el cumplimiento de la nueva versión del PCI DSS. Una versión que introduce 64 nuevos controles y que será obligatoria a partir del 1 de abril de 2025. 

Seguramente, para muchos comerciantes la eliminación de los controles 6.4.3 y 11.6.1 suponga un alivio. Sin embargo, el nuevo requisito que obliga a dichos comercios a confirmar que los sitios están libres de vulnerabilidades, introduce un desafío significativo.

Los comerciantes que no se categorizaban en la modalidad de SAQ A no verán cambios sustanciales en su enfoque. Sin embargo, para los comerciantes que demostraban cumplimiento PCI DSS a través de un SAQ A, la actualización hace que el proceso sea más complicado.

Portada Artículo BLOG (92)

La necesidad de garantizar la ausencia de vulnerabilidades a través de medidas específicas se convierte en un requisito fundamental.

De hecho, aunque ya no es obligatorio cumplir con los controles eliminados, en la práctica sigue siendo necesario implementar mecanismos para garantizar que el sitio web no es vulnerable a ataques mediante scripts.

En definitiva, aunque a priori pueda parecer que los requisitos se reducen, el nivel de responsabilidad para mantener un entorno seguro no disminuye. Los expertos de A2SECURE aseguran que el verdadero impacto está en la necesidad de reforzar la seguridad.

Siguientes pasos: Recomendaciones de A2SECURE

Los controles 6.4.3 y 11.6.1 se diseñaron específicamente para reducir el riesgo de ataques basados en scripts en páginas web. Al eliminar estos controles, los comercios que demuestran su cumplimiento PCI DSS a través de un SAQ A deben asumir la responsabilidad de garantizar ese grado de seguridad.

Identificar y neutralizar vulnerabilidades en scripts requiere un enfoque preventivo. Es importante mantener un inventario de scripts actualizado, implementar monitoreo continuo, realizar pruebas periódicas de seguridad, etc. Sin estas medidas, garantizar que una web está libre de amenazas es más difícil que antes -cuando los controles eran obligatorios-.

Por ello, la mejor manera de hacer frente a esta actualización es adoptar una postura de ciberseguridad más proactiva y menos dependiente de requisitos puntuales. 

Como empresa especializada en este ámbito, A2SECURE puede ayudar a los comerciantes a comprender, implementar y mantener estas prácticas. Todo ello con el objetivo de garantizar no solo el cumplimiento, sino también una verdadera mejora en su grado de seguridad.

¿Te gustaría elevar la seguridad de tu sitio web y reducir el riesgo de ataques basados en scripts? Ponte con contacto con nuestro equipo de expertos: [email protected]

 

Los comentarios están cerrados.