Actualmente, el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS), es el conjunto de normas más extendido y empleado dentro del ecosistema de pagos.
El objetivo de esta norma, que fue lanzada en 2006 por el PCI Standards Security Council, es garantizar que todas las empresas y negocios que procesan, almacenan o transmiten datos de tarjetas mantienen la seguridad de dichos datos.
Después de diversas actualizaciones a lo largo de los años, el estándar ha ido evolucionando para estar al día con las nuevas tendencias de compra, como el comercio electrónico o digital, y proteger los datos de las tarjetas frente a las cada vez más sofisticadas ciberamenazas.
De hecho, la última versión del estándar — la PCI DSS V4 — fue lanzada el 31 de marzo del 2022. La nueva versión trajo consigo múltiples cambios para adaptar la normativa a la nueva realidad y 64 nuevos controles.
Dentro de estos 64 controles, concretamente 13 de ellos empezaron a ser aplicables a partir del 31 de marzo de 2024. Los 51 restantes, se establecieron como “buenas prácticas” hasta el 31 de marzo de 2025, es decir, hasta ahora no eran obligatorios.
Sin embargo, con la llegada del nuevo año, entraremos en un nuevo hito en relación a la aplicación de la norma. Y es que, para el 31 de marzo de 2025 los controles de PCI V4 que hasta ahora se habían considerado “buenas prácticas” pasarán a ser obligatorios.
Nuevos controles obligatorios a tener en cuenta de cara al 31 de marzo de 2025
Mantenerse al día con los últimos cambios y los requisitos de cumplimiento PCI DSS puede ser difícil. Precisamente por ello, es importante contar con el asesoramiento de un equipo especializado en compliance dentro del ecosistema de pagos.
Desde A2SECURE, nuestro equipo que trabaja día a día con múltiples empresas de diversos sectores ha recopilado algunos de los nuevos controles que es importante tener en cuenta de cara al deadline establecido por el PCI Council: 31 marzo de 2025.
A continuación, encontrarás un listado de los más importantes.
4.Redes Públicas
4.2.1.1.a Inventario de claves y certificados para la protección de datos PAN
Examinar las políticas y procedimientos documentados para verificar que se han definido procesos para que la entidad mantenga un inventario de sus claves y certificados de confianza.
4.2.1.1.b Validación del inventario actualizado de claves y certificados
Examinar el inventario de claves y certificados de confianza para comprobar que se mantiene actualizado.
5.Anti Malware
5.3.3.a Control sobre dispositivos USB conectados
Examinar las configuraciones de las soluciones antimalware para comprobar que, en el caso de los soportes electrónicos extraíbles, la solución está configurada para realizar al menos uno de los elementos especificados en este requisito:
– Realizar análisis automáticos cuando el soporte se inserta, conecta o monta lógicamente
– Realizar análisis continuos del comportamiento de los sistemas o procesos cuando el soporte está insertado, conectado o montado lógicamente.
5.4.1 Mecanismos anti-phishing
Observar los procesos implementados y examinar los mecanismos para verificar que se han establecido controles para detectar y proteger al personal contra los ataques de phishing.
6.Desarrollo Seguro
6.4.2a Web Application Firewall
En el caso de las aplicaciones web de cara al público, examinar los ajustes de configuración del sistema y los registros de auditoría, y entrevistar al personal responsable para verificar que existe una solución técnica automatizada que detecta y previene los ataques basados en la web de conformidad con todos los elementos especificados en este requisito:
– Está instalada frente a las aplicaciones web de cara al público y está configurada para detectar y prevenir los ataques basados en la web.
– Se ejecuta activamente y se actualiza según proceda.
– Genera registros de auditoría.
– Está configurado para bloquear ataques basados en web o generar una alerta que se investiga inmediatamente.
6.4.3.a Control sobre los scripts ejecutados en el navegador del cliente
Examinar las políticas y procedimientos para verificar que se han definido procesos para gestionar todos los scripts de páginas de pago que se cargan y ejecutan en el navegador del consumidor, de acuerdo con todos los elementos especificados en este requisito:
– Se implementa un método para confirmar que cada script está autorizado.
– Se implementa un método para asegurar la integridad de cada script.
– Se mantiene un inventario de todos los scripts con una justificación por escrito de por qué cada uno es necesario.
7. Roles y acceso
7.2.4.a Revisión periódica de cuentas de usuario y permisos asociados
Examine las políticas y los procedimientos para verificar que definen procesos para revisar todas las cuentas de usuario y los privilegios de acceso relacionados, incluidas las cuentas de terceros/proveedores, de conformidad con todos los elementos especificados en este requisito:
– Al menos una vez cada seis meses.
– Para garantizar que las cuentas de usuario y el acceso siguen siendo apropiados en función del puesto de trabajo.
– Se aborda cualquier acceso inadecuado.
– La dirección reconoce que el acceso sigue siendo adecuado.
7.2.4.b a Validación revisión periódica de cuentas de usuario y permisos asociados
Entrevistar al personal responsable y examinar los resultados documentados de las revisiones periódicas de las cuentas de usuario para verificar que todos los resultados se ajustan a todos los elementos especificados en este requisito.
8.Controles de acceso lógicos
8.3.6 Política de contraseña
Examinar los ajustes de configuración del sistema para verificar que los parámetros de complejidad de la contraseña/frase de paso del usuario se establecen de acuerdo con todos los elementos especificados en este requisito:
– Una longitud mínima de 12 caracteres (o SI el sistema no admite 12 caracteres, una longitud mínima de ocho caracteres).
– Contener caracteres numéricos y alfabéticos.
8.4.2 Configuración del MFA
Examinar las configuraciones de la red y/o del sistema para verificar que la MFA está implantada para todos los accesos al CDE.
10. Monitorización
10.4.1.1 Gestión de eventos de seguridad
Examinar los mecanismos de revisión de registros y entrevistar al personal para verificar que se utilizan mecanismos automatizados para realizar revisiones de registros.
11. Gestión de vulnerabilidades
11.3.1.2.a Configuración escaneo autenticado para escaneos internos
Examinar las configuraciones de las herramientas de escaneo para verificar que se utiliza el escaneo autenticado para escaneos internos, con privilegios suficientes, para aquellos sistemas que aceptan credenciales para el escaneo. Además, habrá que justificar en las políticas y procedimientos los sistemas que no pueden aceptar credenciales para el escaneo autenticado.
11.6.1.a Detección y alerta de modificaciones no autorizadas en páginas de pago
Examinar la configuración del sistema, las páginas de pago supervisadas y los resultados de las actividades de supervisión para verificar el uso de un mecanismo de detección de cambios y manipulaciones no autorizadas tanto en los encabezados HTTP, como en el contenido de las páginas de pago tal y como las recibe el navegador del consumidor.
12. Políticas y procedimientos
12.3.1 Análisis de riesgo específicos para los requisitos de PCI DSS que proporcionan flexibilidad
Examinar las políticas y procedimientos documentados para verificar que se ha definido un proceso para realizar análisis de riesgos específicos para cada requisito de las PCI DSS que ofrezca flexibilidad en cuanto a la frecuencia con la que se realiza el requisito, y que el proceso incluye todos los elementos especificados en este requisito:
– Identificación de los activos que se protegen.
– Identificación de la amenaza o amenazas contra las que protege el requisito.
– Identificación de los factores que contribuyen a la probabilidad y/o al impacto de que se materialice una amenaza.
– Análisis resultante que determine, e incluya la justificación de, con qué frecuencia debe realizarse el requisito para minimizar la probabilidad de que se materialice la amenaza.
– Revisión de cada análisis de riesgos específico al menos una vez cada 12 meses para determinar si los resultados siguen siendo válidos o si es necesario un análisis de riesgos actualizado.
– Realización de análisis de riesgos actualizados cuando sea necesario, según determine la revisión anual.
12.10.7a Procedimientos de respuesta a incidentes para datos de tarjeta en ubicaciones inesperadas
Evaluar los procedimientos de respuesta a incidentes documentados para verificar que los procedimientos para responder a la detección de datos de PAN almacenados en cualquier lugar inapropiado, estén listos para iniciarse e incluyan todos los elementos especificados en este requisito:
– Determinar qué hacer si se descubren datos de PAN fuera del CDE, incluyendo su recuperación, eliminación segura y/o migración al CDE actualmente definido, según corresponda.
– Identificar si los datos confidenciales de autenticación se almacenan con datos de PAN.
– Determinar de dónde proceden los datos del tarjetahabiente y cómo han llegaron donde no se esperaba.
– Remediar fugas de datos o brechas en el proceso que llevaron a que los datos del tarjetahabiente llegaran a una ubicación inesperada.
¿Te gustaría saber cuáles son el resto de nuevos controles que pasarán a ser obligatorios a partir del 31 de marzo de 2025? Descárgate ya nuestra Guía de Iniciación a PCI V4 y consulta el listado completo de todos los controles que dejarán de ser considerados “buenas prácticas”.
Controles PCI V4 a los que hay que prestar especial atención
Según nuestro equipo experto, además de estos nuevos controles, de cara a la auditoría de la PCI V4 existen dos controles que ya eran obligatorios en 2024 con los que hay que tener especial cuidado. Además, estos dos controles están presentes en casi todas las áreas de acción (de la 1 a la 11).
X.1.2.a Documentación de funciones y responsabilidades asignadas
Examinar la documentación para verificar que las descripciones de funciones y responsabilidades para realizar las actividades del requisito X están documentadas y asignadas.
X.1.2.b a Verificación y comprensión de funciones y responsabilidades
Entrevistar al personal responsable de realizar las actividades del requisito X para verificar que las funciones y responsabilidades se asignan según lo documentado y se comprenden.
____
El 31 de marzo de 2025 es la fecha límite para adaptarse a los nuevos controles obligatorios. ¿Necesitas ayuda para activar la última fase de tu proceso de adaptación y poder cumplir con los requisitos? Escríbenos a [email protected]