PCI DSS v4.0 ¿hacia dónde va el estándar?

Avatar

El PCI Security Standards Council (PCI SSC) ha anunciado recientemente la planificación y los trabajos necesarios para la actualización del estándar de seguridad a la versión 4.0. Sin embargo, son muchas las preguntas que se están planteando los diferentes actores del ecosistema de pago referente a la nueva versión, teniendo en cuenta la rápida y continua evolución de los medios de pago junto con la tecnología.

Los encargados de proveer el feedback y sentar las bases de la versión 4.0 son conscientes de que en esta era digital, existen nuevas formas de pago que incluso están cambiando hábitos de compra. En este sentido y para satisfacer estas necesidades, los diferentes comercios y proveedores de servicios están desarrollando nuevos e innovadores métodos de pago. Todo ello soportado en nuevas plataformas y servicios tecnológicos. Debido a esto, es necesario reconocer que algunos de los controles del estándar actual no pueden ser aplicables a todas las organizaciones que utilizan esta nueva tecnología. El aumento de servicios en la nube, las nuevas prácticas de desarrollo de software y una creciente dependencia de terceros en el proceso de pago, son claras señales de que el estándar debe evolucionar al unísono para adecuarse al nuevo panorama tecnológico. Teniendo esto en cuenta, el council PCI SSC está estudiando cómo modificar el estándar para incorporar todos estos cambios tecnológicos, buscando formas de introducir una mayor seguridad y flexibilidad dentro del estándar, pero sin dejar de mitigar las nuevas amenazas a las que se enfrentan las organizaciones que procesan, transmiten o almacenan datos de tarjeta de crédito a través de estas nuevas tecnologías. 

Aunque si bien es cierto que el council ha comunicado que no prevén cambiar los 12 requerimientos principales del estándar, sí añadirán y modificarán algunos requerimientos para abordar los nuevos riesgos existentes en el ecosistema de pago. Pero, ¿qué significa flexibilidad dentro del estándar en esta nueva era digital y de continuos cambios tecnológicos? Desde mi punto de vista, la versión 4.0 estará más orientada a la gestión de riesgo. Es decir, cuando por temas tecnológicos no se puedan aplicar los controles de seguridad definidos en la versión 4.0, será responsabilidad de las organizaciones, identificar las vulnerabilidades y las amenazas para los recursos tecnológicos auditados, y decidir qué contramedidas se deben implementar para reducir el riesgo a un nivel aceptable.

 Este nuevo enfoque de evolución de la PCI DSS lo podemos comparar con el desarrollo y adecuación de la antes llamada Ley Orgánica de Protección de Datos (LOPD). Esta evolución ha dado como fruto el renovado Reglamento General de Protección de Datos (GDPR). Con anterioridad,  la LOPD imponía una serie de medidas de seguridad estándar en función de la clasificación de los ficheros (bajo, medio o alto). En la actualidad, la RGPD no ofrece un conjunto de controles de seguridad, sino que las medidas a adoptar se establezcan en función del riesgo detectado por las organizaciones, tendencia más probable a esperar de la actual PCI DSS.

Este proceso de gestión de riesgos supondrá un reto, tanto para las empresas y proveedores de servicios que procesan, transmiten o almacenan datos de tarjetas de crédito, como para las empresas QSA que realizan auditorías PCI DSS. En el primer caso, el desafío radica en la necesidad de contar con personal capacitado para desarrollar un buen programa de gestión de riesgo. Esto se traduce en involucrar a diferentes personas y grupos dentro de las organizaciones para la identificación, evaluación y administración de los riesgos. En el segundo caso, los auditores QSA tendrán la última palabra a la hora de evaluar los procesos de gestión de riesgo realizados, y determinar si el proceso llevado a cabo y los controles de seguridad implementados reducen o no el riesgo. Con esto en mente, la actualización del estándar de seguridad PCI DSS a la versión v4.0 incluye:

  • Nuevos controles de seguridad para abordar la evolución de los riesgos y las amenazas dentro del nuevo ecosistema de pago, reforzando la seguridad como un proceso continuo; y
  • Actualización de algunos controles actuales y los procedimientos de validación, apoyando de esta forma a las organizaciones que utilizan precisamente esas tecnologías innovadoras a cumplir con los objetivos de control de los requerimientos.

Hoy en día los estándares son un fenómeno interesante dentro de la actual coyuntura tecnológica, sobretodo en el área de la seguridad. Algunas personas las consideran burocráticas, alegando que restringen la creatividad en la implementación de la innovación, y que en consecuencia, son vistas con reticencia por algunos empleados. Sin embargo, otras personas no comparten esta opinión y consideran que los estándares permiten que personas y organizaciones totalmente diferentes hablen entre sí en el mismo idioma, brindando confiabilidad y ahorrando recursos. Indiferentemente de las posturas comentadas anteriormente, no hay duda que en una discusión en las que se traten los estándares de seguridad que regulan las aplicaciones de pago con tarjetas de crédito/débito, lo primero que viene a la mente es PCI-DSS (siendo el estándar de seguridad por antonomasia dentro del ecosistema de pago). 

Se estima que la versión 4.0 no llegará antes de finales de 2020. Si tienes dudas, preguntas o sencillamente quieres que te acompañemos durante la adaptación y/o certificación del estándar, independientemente del sector en el que te encuentres, no dudes en ponerte en contacto con nosotros

Autor: Jaime Loaiza

Leave a Comment

Sysinternalsqsa