“El reloj está corriendo en PCI DSS v3.2.1. El 31 de marzo de 2024, PCI DSS v3.2.1 se retirará, lo que hará que la transición a PCI DSS v4.0 sea esencial para las organizaciones involucradas en la seguridad de los datos de pago. Para ayudar con esta transición, PCI SSC ha identificado ocho pasos que debe seguir en su viaje a PCI DSS v4.0.
Paso #1: Comienza ahora
El paso más importante en el viaje de su organización hacia PCI DSS v4.0 es comenzar ahora. La fecha de retiro de PCI DSS v3.2.1 se acerca rápidamente y estará aquí antes de que te des cuenta. Cuanto antes comprenda lo que significa PCI DSS v4.0 para su organización, antes podrá comenzar a planificar y priorizar el trabajo para garantizar una transición fluida y eficiente.
Paso #2: Mantente fuerte
A medida que su organización comienza a implementar cambios para cumplir con PCI DSS v4.0, es importante no dejar escapar ningún control de seguridad v3.2.1. Continúe manteniendo y supervisando todos los controles de seguridad PCI DSS existentes, aunque se centre en implementar nuevos requisitos para la versión 4.0.
Si su organización es nueva en PCI DSS, considere la posibilidad de utilizar el enfoque definido para la versión 4.0, ya que proporciona instrucciones específicas sobre cómo cumplir los objetivos de seguridad. Incluso si está familiarizado con PCI DSS, los requisitos definidos y los procedimientos de prueba pueden ofrecer una ruta de transición más clara para su organización que el enfoque personalizado.
Al tomar las medidas necesarias para permanecer vigilante con sus controles de seguridad mientras se prepara para v4.0, su organización puede mantenerse fuerte durante su viaje para cumplir con la última versión del estándar.
Paso #3: Comprender los requisitos
Cuando se trata de comprender los cambios en PCI DSS v4.0, el mejor lugar para comenzar es leyendo el Resumen de cambios de PCI DSS v3.2.1 a PCI DSS v4.0. Ubicado en la biblioteca de documentos de PCI SSC, este documento proporciona un valioso resumen y descripciones de los cambios entre PCI DSS v3.2.1 y v4.0. También incluye una tabla de Resumen de nuevos requisitos que enumera todos los nuevos requisitos junto con su aplicabilidad y fechas de vigencia.
Además del Resumen de cambios, hay una gran cantidad de orientación nueva y ampliada que se puede encontrar dentro de la propia Norma. Esta guía adicional ayuda a proporcionar una comprensión más clara de los requisitos, así como a explicar los nuevos conceptos introducidos en PCI DSS v4.0, como los análisis de riesgos específicos y los controles de seguridad de red.
Las organizaciones que utilizan cuestionarios de autoevaluación (SAQ) también deben leer la Norma, ya que la orientación detallada proporcionada para cada requisito no se incluye en los documentos de SAQ. También ha habido actualizaciones dentro de los SAQ, y es importante que las entidades autoevaluadas lean su SAQ correspondiente para comprender el alcance completo de los cambios.
Una vez que comprenda los requisitos de la versión 4.0, asígnelos con sus controles de seguridad actuales y analice el impacto que los cambios pueden tener en su organización. Es posible que ya cumpla con algunos de los requisitos de v4.0, por lo que puede priorizar sus esfuerzos de transición donde más se necesitan.
Al familiarizarse a fondo con los cambios en PCI DSS v4.0, su organización estará mejor preparada para completar una transición fluida y eficiente.
Paso #4: elige la validación correcta
Al realizar la transición a PCI DSS v4.0, considere qué enfoque de validación es el adecuado para su organización. Hay dos opciones: el enfoque definido y el enfoque personalizado. El enfoque definido sigue el método tradicional para implementar y validar los requisitos de PCI DSS, utilizando los requisitos y procedimientos de prueba establecidos en el estándar. El enfoque personalizado permite a las organizaciones diseñar controles de seguridad personalizados que se pueden usar para cumplir con el objetivo de enfoque personalizado del requisito. Si está considerando el enfoque personalizado, asegúrese de comprender a fondo lo que se requiere y verifique que su implementación cumpla con los requisitos adicionales de análisis de riesgos y documentación antes de intentar una validación de enfoque personalizado.
Para las organizaciones que usan controles de compensación para cumplir un requisito de la versión 3.2.1, revise los requisitos actualizados y las opciones de validación de la versión 4.0 para determinar el mejor enfoque.
En última instancia, la selección del enfoque de validación correcto dependerá de la estrategia de seguridad de su organización y del enfoque de la gestión de riesgos. Considere cuidadosamente ambas opciones para asegurarse de elegir el enfoque correcto para su organización.
Para obtener más información sobre el enfoque personalizado, lea la serie de blogs Enfoque personalizado y vea a Kandyce Young responder a las preguntas de las partes interesadas en este video “Preguntas con el Consejo”.
Paso #5: Haz el trabajo
Al hacer el trabajo, asegúrese de involucrar a todos. Comunique su plan de transición en todos los departamentos y funciones, asegurándose de que todos sepan su papel y qué esperar. Defina claramente los roles y responsabilidades para cada requisito.
La gestión eficaz de proyectos es fundamental para una transición exitosa. Esto incluye mantener planes de proyecto precisos, definir hitos alcanzables y oportunos y realizar un seguimiento continuo de su progreso.
Finalmente, documenta todo. Establecer políticas y procedimientos para apoyar la implementación continua y consistente de los controles de seguridad. También hay algunos requisitos de documentación nuevos en PCI DSS v4.0 que es posible que deba abordar.
Paso #6: Utilice socios de confianza
Es esencial educar y capacitar a su personal sobre su papel en mantener sus datos seguros y cumplir con PCI DSS. Identifique cualquier brecha de habilidades y capacite a sus equipos en cualquier nueva tecnología que esté implementando. Esto es especialmente cierto para las pequeñas empresas, donde cada miembro del equipo deberá estar capacitado y ser consciente de su papel en la transición.
Al implementar controles de seguridad, asóciese con un equipo de seguridad de confianza. Utilice profesionales calificados como profesionales de la industria de tarjetas de pago (PCIP), asesores de seguridad interna (ISA) y asesores de seguridad calificados (QSA). Estas personas calificadas pueden apoyar la aplicación consistente y adecuada de los controles PCI DSS.
Utilice tecnologías y soluciones que hayan sido probadas y validadas según los estándares de seguridad para la protección de datos de pago. PCI SSC mantiene listados de productos y soluciones validados según los estándares PCI SSC, incluidas las soluciones de cifrado punto a punto (P2PE), el software de pago validado y los dispositivos PTS aprobados.
Paso #7: Haga sus propias evaluaciones
La mejor manera de prepararse para una evaluación PCI DSS es hacer sus propias evaluaciones. La preparación para una evaluación debe comenzar lo antes posible; Cuanto más tiempo invierta en la preparación, más eficiente y exitosa será su evaluación.
Realizar evaluaciones de brechas temprano y con frecuencia lo ayudará a identificar las áreas en las que necesita trabajar. La planificación temprana es clave para poder abordar cualquier brecha antes de que se requiera una validación formal.
Las pruebas regulares también confirmarán si sus controles de seguridad nuevos o actualizados se implementan en todos sus sistemas y áreas dentro del alcance.
Finalmente, es importante establecer líneas abiertas de comunicación con el equipo de evaluación antes de la evaluación. Esto puede ayudar a garantizar que toda la documentación esté lista y que cualquier pregunta se responda antes de que se realice la evaluación.
Paso #8: Priorizar la seguridad como un proceso continuo
PCI DSS v4.0 está diseñado para admitir procesos continuos a largo plazo para proteger los datos de pago. La flexibilidad adicional proporcionada en PCI DSS v4.0 permite a las organizaciones elegir los controles de seguridad más adecuados para sus necesidades empresariales y de seguridad. Las organizaciones centradas en mantener los controles de seguridad de PCI DSS durante todo el año pueden evitar más fácilmente ciclos recurrentes de cumplimiento a corto plazo seguidos de fallas de seguridad y corrección a corto plazo cada vez que tienen una evaluación.
Se deben llevar a cabo sesiones regulares de capacitación y concientización del personal para ayudar a los empleados a comprender la importancia de PCI DSS y el papel que desempeñan para mantener seguros los datos de pago de la organización. Incorporar la seguridad en las prácticas habituales y arraigarlas como parte de la cultura organizacional ayudará a garantizar que, si se producen fallas de control, se puedan detectar, informar y corregir rápidamente.
Al centrarse en la seguridad como un proceso continuo, las organizaciones tendrán una mayor seguridad en sus implementaciones de PCI DSS v4.0 y reducirán el riesgo de incidentes de seguridad y violaciones.”
Fuente: Blog – PCI SECURITY STANDARDS
