Novedades PCI DSS 4.0

PCI DSS es el estándar mundial que proporciona un marco de controles técnicos y operativos diseñados para proteger los datos de tarjetas de pago.

El 31 de marzo de 2022, el PCI Security Standards Council (PCI SSC) publicó la versión 4.0 de Payment Card Industry Data Security Standard (PCI DSS). La versión PCI DSS 4.0 sustituye a la anterior versión PCI DSS 3.2.1, con el objetivo de abordar las nuevas amenazas y tecnologías emergentes. No obstante, la versión PCI DSS 3.2.1 seguirá vigente hasta 31 de marzo de 2024 momento a partir del cual la única versión válida será PCI DSS 4.0.

PCI DSS 4.0 Transition Timeline

Aspectos más relevantes

Se detallan los aspectos más significativos y relevantes de la versión actual PCI DSS 4.0 que impactan a las organizaciones y que debe evaluar su impacto con el apoyo de un asesor QSA PCI DSS.

1. Enfoque definido y enfoque personalizado

La normativa PCI DSS v4.0 introduce un nuevo concepto a analizar, que es el enfoque personalizado. En la versión PCI DSS 3.2.1, las empresa y organizaciones que procesan, transmiten o almacenan datos de tarjeta de pago era necesario que cumplieran con los controles que les aplicaba en base a sus flujos de datos o data mapping siguiendo con el estándar, eso se denomina enfoque definido.

Ahora la PCI DSS v4.0, introduce el concepto de enfoque personalizado, el cual permite que las organizaciones puedan implementar controles que no están definidos en la normativa pero que cubran el objetivo del control establecido en la norma. Debido a que existe la posibilidad de implementación de controles diferentes, no existen procedimientos de pruebas definidos y los asesores QSA PCI DSS deberán verificar que los controles implementados cubren el objetivo establecido por PCI DSS.

El enfoque personalizado permite a las empresas la innovación en las prácticas de seguridad, permitiendo que las organizaciones tengan mayor flexibilidad para mostrar cómo sus controles de seguridad cumplen los objetivos establecidos por el estándar PCI DSS.

Cabe destacar que algunos requisitos no disponen de un enfoque personalizado, por lo que las organizaciones deberán aplicar los controles definidos en le estándar PCI DSS.

2. Autenticación

La gestión de identidades y accesos tiene un papel fundamental en la protección de los datos de tarjetas de pago. En esta nueva versión PCI DSS v4.0 se han introducido cambios notables referentes al proceso de autenticación e inicio de sesión:

  • Se aumenta el número de intentos de autenticación inválidos antes de bloquear la cuenta, de seis a diez intentos.
  • La longitud mínima de las contraseñas se aumenta de siete (7) a doce (12) sii el sistema lo permite.
  • La autenticación multifactor o MFA se utiliza para todos los accesos al entorno (exceptuando usuarios de aplicación, sistema o cuentas de de usuario en terminales de puntos de venta que tienen acceso a un solo número de tarjeta a la vez) de datos de tarjeta o también denominado cardholder data environment, CDE.
  • Todas las cuentas de usuario y los privilegios de acceso relacionados, incluyendo las cuentas de terceros, se deben revisar al menos una vez cada seis meses.
  • El acceso de aplicaciones y cuentas del sistema se revisa periódicamente, a una frecuencia definida en el análisis de riesgos específico de la entidad.
  • Se permite el uso de cuentas grupales o genéricas, siempre y cuando se usen de manera excepcional y su uso esté limitado por un tiempo determinado. Además, la identidad del usuario individual debe confirmarse antes de conceder el acceso a la cuenta genérica y cada acción realizada en esa cuenta debe ser atribuible al usuario individual.

3. Gestión de riesgos y concienciación en seguridad a los empleados

Se introducen nuevos requisitos y modificaciones asociadas a la gestión de riesgos y concienciación en materia de seguridad. Algunos de estos cambios son.

  • PCI DSS v4.0 proporciona flexibilidad sobre la frecuencia de aplicación de algunos controles siempre que se haya realizado un análisis de riesgo y éste esté documentado y tenga sentido, coherencia con la periodicidad del control aplicada. Dicho análisis de riesgo específico se debe revisar una vez cada 12 meses. Por ejemplo; escaneos periódicos de malware, revisión de los accesos de aplicaciones y cuentas de sistema, periodicidad de las contraseñas de cuentas de sistema y aplicación, corrección de vulnerabilidades medias y bajas, etc.
  • Para aquellas entidades que utilizan un enfoque personalizado, se debe realizar un análisis de riesgos específico para cada requisito PCI DSS que se haya aplicado el enfoque personalizado.
  • El alcance PCI DSS es documentado y confirmado por la entidad al menos una vez cada 12 meses y ante cambios significativos en el entorno dentro del alcance
  • El programa de concienciación sobre seguridad es revisado al menos una vez cada 12 meses y se actualiza según sea necesario. Este incluye pruebas de simulación de ingeniería social como phishing.

4. Desarrollo seguro, monitorización y gestión de vulnerabilidades

La nueva versión PCI DSS 4.0 introduce y endurece los requisitos asociados al desarrollo seguro, gestión de vulnerabilidades y a la monitorización de los activos. Entre estos requisitos, se destaca:

  • Para aplicaciones web públicas se debe implementar una solución técnica automatizada que detecta e impide continuamente ataques basados en la web (Web Application Firewall, WAF).
  • Se mantiene un inventario del software a medida y personalizado, así como de los componentes del software de terceros incorporados en el software a medida y personalizado.
  • Todos los scripts de las páginas de pago que se cargan y ejecutan en el navegador, además de estar inventariados de manera justificada, deben implementar un método para confirmar que cada script está autorizado y debe asegurar su integridad.
  • Se deben implementar procesos y mecanismos automatizados para detectar y proteger al personal contra ataques de phishing.
  • Se deben utilizar mecanismos y herramientas automatizadas para llevar a cabo las revisiones de los registros de auditoría o logs, por ejemplo, mediante el uso de herramientas SIEM (Security Information and Event Management).
  • Los escaneos de vulnerabilidades internas se llevan a cabo mediante escaneos autenticados. Las credenciales deberán protegerse y controlarse según lo establecido en los requisitos 7 y 8 de PCI DSS.

5. Transmisión, visualización y almacenamiento

Los cambios más relevantes en referencia a este apartado son:

  • Debido a la entrada en vigencia del BIN de ocho dígitos, PCI DSS aclara que el PAN debe estar enmascarado, pudiendo mostrar solamente el BIN y los últimos cuatro dígitos. Solamente el personal autorizado podrá ver más que el BIN y los últimos cuatro dígitos del PAN.
  • Los hashes utilizados para hacer ilegible el PAN deberán ser hashes criptográficos con clave (ejemplo de algoritmos: HMAC, CMAC y GMAC), con procesos y procedimientos de gestión de claves asociados según los requerimientos 3.6 y 3.7 de PCI DSS.
  • Si se utiliza un cifrado a nivel de disco o de partición en lugar de un cifrado de base de datos, para hacer que el PAN sea ilegible se implementará en medios electrónicos extraíbles. En caso de que se utilice en medios electrónicos no extraíbles, el PAN se hace ilegible mediante otro mecanismo que cumpla con el requisito 3.5.1 (hash, cifrado, truncamiento o tokenización).
  • Se debe mantener un inventario de las claves y certificados confiables de la entidad utilizados para proteger los datos PAN durante la transmisión. Dicho inventario deberá incluir la CA emisora y la fecha de caducidad del certificado.

El estándar de seguridad PCI DSS v4.0 se pueden encontrar en la página oficial del council.

A2SECURE como empresa QSA PCI DSS certificada por el Council te acompaña en todo el proceso de adaptación y certificación del nuevo estándar PCI DSS v4.0, no dudes en ponerte en contacto con nosotros.

Autor: Miquel Casasayas

Leave a Comment

Brecha seguridad