Aun siendo una normativa sectorial (tarjetas de pago) y debido al continuo incremento en el uso de este medio de pago, a estas alturas PCI DSS se ha convertido en una norma más que conocida.
Y es que es indiscutible que la actual situación mundial de pandemia ha sido un revulsivo en la transformación de nuestros hábitos de pago. No solo hemos visto modificarse los hábitos en las transacciones online sino también en las presenciales, donde el efectivo, aunque siendo aún hoy en día el método de pago preferido en compras presenciales, va perdiendo poco a poco terreno frente al pago con tarjeta. La culpa: distancia social, higiene, rapidez, facilidad de uso y, en cualquier caso, SEGURIDAD.
PCI DSS 4.0 verá la luz este 2021
PCI DSS actualmente está en su versión 3.2.1, lanzada en mayo de 2018 y a largo del presente año su versión 4.0 saldrá a la luz, tras un largo periodo de revisión.
No se espera un cambio significativo en los actuales 12 requisitos, ya que siguen siendo la base fundamental para proteger los datos de las tarjetas de pago. Pero se prevé que la norma evolucione para adaptarse a los cambios en las tecnologías, las técnicas de mitigación de riesgos y el panorama de las amenazas. También habrá una mayor flexibilidad en los métodos para cumplir con los objetivos de seguridad.
Objetivos clave de PCI DSS 4.0
Los objetivos clave que se han seguido para la elaboración de la versión 4, según el propio PCI SSC, son:
- Garantizar que la norma siga satisfaciendo las necesidades de seguridad del sector de los pagos.
- Añadir flexibilidad y apoyo a metodologías adicionales para lograr la seguridad.
- Promover la seguridad como un proceso continuo.
- Mejorar los métodos y procedimientos de validación.
Cambios de la versión 4.0
Si ahondamos algo más en lo poco que sabemos sobre los cambios que depara la versión 4, podemos anunciar los más significativo:
- Mayor flexibilidad en la implantación: hasta ahora, la norma explicaba paso a paso el “qué” y además el “cómo”. En la nueva versión se podrá realizar una implementación personalizada que permitirá una mayor flexibilidad en cómo las empresas consiguen el cumplimiento de ciertos requerimientos, diseñando sus propios controles. Eso sí, se deberá justificar debidamente la efectividad del control personalizado de cara al requerimiento en cuestión. Por lo tanto, cada empresa podrá elegir entre la implementación prescriptiva existente o la nueva implementación personalizada. Los controles compensatorios ya no serán una opción.
- Nuevos requisitos y más estrictos: aunque se flexibilizará el modo en el que se llega al cumplimiento normativo, en la nueva versión nos encontraremos con la reestructuración de requisitos haciéndolos más estrictos, sobre todos aquellos que directamente rigen el modo en que las entidades transmiten, procesan y almacenan los datos de titulares de tarjetas.
- Autenticación de doble factor (MFA): PCI SSC y el consorcio formado por Europay, MC y Visa han trabajado de la mano para tratar de crear mejores estándares, tanto en lo que se refiere a los procesos de accesos como a los propios procesos de pago. Es por esto, que probablemente ciertos controles de la versión 4.0 de PCI DSS estén muy cercanos a otros de PCI 3DS.
- Mayor implantación del cifrado de datos: debido al creciente aumento de incidentes de data leaks y de la continua aparición de nuevas vulnerabilidades, el cifrado de datos ha dejado de ser una recomendación para convertirse en una obligación en todos los entornos. Y es aquí donde la nueva norma aumentará el foco, proporcionando nuevas medidas para aumentar la seguridad en la transmisión de los datos de tarjetas.
- Ampliación de DESV (Designated Entities Supplemental Validation): hasta ahora, solo ciertas entidades que había sufrido algún tipo de incidente de seguridad, o por algún otro motivo que el Council estimaba conveniente, debían cumplir una serie de requerimientos adicionales. Se espera que algunos de estos requerimientos sean aplicados a todas las entidades, incorporándolos así a la nueva versión 4.0., sobre todos aquellos que tratan de la revisión periódica de controles críticos.
¿Cuándo llegará PCI DSS 4.0?
Una vez conocida una aproximación de los cambios que podemos esperar de la nueva versión, solo resta saber el cuándo.
El pasado viernes 26 de febrero, el Council anuncio un nuevo RFC para junio de 2021 pero solo en lo que se refiere a las plantillas ROC y SAQ. Esto hace pensar que existe cierto retraso en el lanzamiento definitivo de la publicación de la versión 4.0 y que probablemente no vea la luz hasta cercanos al Q4 de este año.
En próximas fechas PCI SSC publicará un nuevo cronograma donde se incluirá un período de transición que tendrá en cuenta la migración de PCI DSS v3.2.1 a v4.0, e igualmente se indicarán los plazos para permitir que las entidades cumplan con los nuevos requisitos.
Mientras tanto si necesitas garantizar la protección de datos y la seguridad en las transacciones económicas online, minimizar el fraude y transmitir confianza, pregúntanos cómo hacerlo. Estaremos encantados de ayudarte
Un post de Daniel Vivar
Consultor senior de ciberseguridad especializado en PCI DSS BOTECH
