{"id":11467,"date":"2025-06-27T08:59:24","date_gmt":"2025-06-27T13:59:24","guid":{"rendered":"https:\/\/iqcol.com\/?p=11467"},"modified":"2025-09-05T15:16:06","modified_gmt":"2025-09-05T20:16:06","slug":"pci-dss-v4-0-1-como-gestionar-las-vulnerabilidades-internas-y-externas-segun-los-nuevos-lineamientos","status":"publish","type":"post","link":"https:\/\/iqcol.com\/en\/pci-dss-v4-0-1-como-gestionar-las-vulnerabilidades-internas-y-externas-segun-los-nuevos-lineamientos\/","title":{"rendered":"PCI DSS v4.0.1 How to manage the internal and external vulnerabilities, according to new guidelines"},"content":{"rendered":"

PCI DSS v4.0.1: C\u00f3mo gestionar las vulnerabilidades internas y externas seg\u00fan los nuevos lineamientos<\/strong><\/h2>\n

El Consejo de Normas de Seguridad de PCI DSS ha publicado un nuevo diagrama que explica de manera detallada c\u00f3mo debe realizarse la gesti\u00f3n de vulnerabilidades, una de las actividades m\u00e1s exigentes del est\u00e1ndar. Este proceso hace referencia directa a los controles 6.3.1, 6.3.3, 11.3.1 y 11.3.1.1<\/strong>, y est\u00e1 dividido en dos grandes etapas:<\/p>\n

    \n
  1. Identificaci\u00f3n y clasificaci\u00f3n del riesgo de las vulnerabilidades<\/li>\n
  2. Resoluci\u00f3n o tratamiento de las vulnerabilidades<\/li>\n<\/ol>\n
      \n
    1. \n

      Identificaci\u00f3n y clasificaci\u00f3n de vulnerabilidades<\/strong><\/h3>\n<\/li>\n<\/ol>\n

      El primer paso es identificar las vulnerabilidades internas a trav\u00e9s de escaneos regulares, tal como lo exige el control 11.3.1<\/strong>, el cual establece que se deben realizar an\u00e1lisis de vulnerabilidades al menos una vez cada tres meses utilizando herramientas especializadas. Adem\u00e1s, el requisito 6.3.1<\/strong> exige tener en cuenta otras fuentes de informaci\u00f3n externas, como bases de datos de la industria, para complementar la identificaci\u00f3n de posibles fallas.<\/p>\n

      Es fundamental aclarar que los controles 11.3.1 y 6.3.1<\/strong> no son equivalentes ni intercambiables. Mientras el primero se enfoca en los escaneos t\u00e9cnicos, el segundo requiere un an\u00e1lisis m\u00e1s amplio y estrat\u00e9gico de las amenazas, incluso cuando estas provienen de fuentes externas.<\/p>\n

      Una vez identificadas, las vulnerabilidades deben ser clasificadas en funci\u00f3n de su criticidad. Por defecto, muchas organizaciones adoptan la puntuaci\u00f3n que entregan las herramientas de escaneo o las fuentes externas (como CVSS), pero el est\u00e1ndar permite que la entidad ajuste este ranking si considera que el contexto de su entorno as\u00ed lo requiere.<\/p>\n

      Este an\u00e1lisis interno puede incluir factores como:<\/p>\n