“El reloj est\u00e1 corriendo en PCI DSS v3.2.1. El 31 de marzo de 2024, PCI DSS v3.2.1 se retirar\u00e1, lo que har\u00e1 que la transici\u00f3n a PCI DSS v4.0 sea esencial para las organizaciones involucradas en la seguridad de los datos de pago. Para ayudar con esta transici\u00f3n, PCI SSC ha identificado ocho pasos que debe seguir en su viaje a PCI DSS v4.0.<\/p>\n
Paso #1: Comienza ahora<\/strong><\/p>\n El paso m\u00e1s importante en el viaje de su organizaci\u00f3n hacia PCI DSS v4.0 es comenzar ahora. La fecha de retiro de PCI DSS v3.2.1 se acerca r\u00e1pidamente y estar\u00e1 aqu\u00ed antes de que te des cuenta. Cuanto antes comprenda lo que significa PCI DSS v4.0 para su organizaci\u00f3n, antes podr\u00e1 comenzar a planificar y priorizar el trabajo para garantizar una transici\u00f3n fluida y eficiente.<\/p>\n Paso #2: Mantente fuerte<\/strong><\/p>\n A medida que su organizaci\u00f3n comienza a implementar cambios para cumplir con PCI DSS v4.0, es importante no dejar escapar ning\u00fan control de seguridad v3.2.1. Contin\u00fae manteniendo y supervisando todos los controles de seguridad PCI DSS existentes, aunque se centre en implementar nuevos requisitos para la versi\u00f3n 4.0.<\/p>\n Si su organizaci\u00f3n es nueva en PCI DSS, considere la posibilidad de utilizar el enfoque definido para la versi\u00f3n 4.0, ya que proporciona instrucciones espec\u00edficas sobre c\u00f3mo cumplir los objetivos de seguridad. Incluso si est\u00e1 familiarizado con PCI DSS, los requisitos definidos y los procedimientos de prueba pueden ofrecer una ruta de transici\u00f3n m\u00e1s clara para su organizaci\u00f3n que el enfoque personalizado.<\/p>\n Al tomar las medidas necesarias para permanecer vigilante con sus controles de seguridad mientras se prepara para v4.0, su organizaci\u00f3n puede mantenerse fuerte durante su viaje para cumplir con la \u00faltima versi\u00f3n del est\u00e1ndar.<\/p>\n Paso #3: Comprender los requisitos<\/strong><\/p>\n Cuando se trata de comprender los cambios en PCI DSS v4.0, el mejor lugar para comenzar es leyendo el Resumen de cambios de PCI DSS\u00a0v3.2.1 a PCI DSS v4.0.<\/a>\u00a0Ubicado en la biblioteca de documentos de PCI SSC, este documento proporciona un valioso resumen y descripciones de los cambios entre PCI DSS v3.2.1 y v4.0. Tambi\u00e9n incluye una tabla de\u00a0Resumen de nuevos<\/em>\u00a0requisitos que enumera todos los nuevos requisitos junto con su aplicabilidad y fechas de vigencia.<\/p>\n Adem\u00e1s del Resumen de cambios, hay una gran cantidad de orientaci\u00f3n nueva y ampliada que se puede encontrar dentro de la propia Norma. Esta gu\u00eda adicional ayuda a proporcionar una comprensi\u00f3n m\u00e1s clara de los requisitos, as\u00ed como a explicar los nuevos conceptos introducidos en PCI DSS v4.0, como los an\u00e1lisis de riesgos espec\u00edficos y los controles de seguridad de red.<\/p>\n Las organizaciones que utilizan cuestionarios de autoevaluaci\u00f3n (SAQ) tambi\u00e9n deben leer la Norma, ya que la orientaci\u00f3n detallada proporcionada para cada requisito no se incluye en los documentos de SAQ. Tambi\u00e9n ha habido actualizaciones dentro de los SAQ, y es importante que las entidades autoevaluadas lean su SAQ correspondiente para comprender el alcance completo de los cambios.<\/p>\n Una vez que comprenda los requisitos de la versi\u00f3n 4.0, as\u00edgnelos con sus controles de seguridad actuales y analice el impacto que los cambios pueden tener en su organizaci\u00f3n. Es posible que ya cumpla con algunos de los requisitos de v4.0, por lo que puede priorizar sus esfuerzos de transici\u00f3n donde m\u00e1s se necesitan.<\/p>\n Al familiarizarse a fondo con los cambios en PCI DSS v4.0, su organizaci\u00f3n estar\u00e1 mejor preparada para completar una transici\u00f3n fluida y eficiente.<\/p>\n Paso #4: elige la validaci\u00f3n correcta<\/strong><\/p>\n Al realizar la transici\u00f3n a PCI DSS v4.0, considere qu\u00e9 enfoque de validaci\u00f3n es el adecuado para su organizaci\u00f3n. Hay dos opciones: el enfoque definido y el enfoque personalizado. El enfoque definido sigue el m\u00e9todo tradicional para implementar y validar los requisitos de PCI DSS, utilizando los requisitos y procedimientos de prueba establecidos en el est\u00e1ndar. El enfoque personalizado permite a las organizaciones dise\u00f1ar controles de seguridad personalizados que se pueden usar para cumplir con el objetivo de enfoque personalizado del requisito. Si est\u00e1 considerando el enfoque personalizado, aseg\u00farese de comprender a fondo lo que se requiere y verifique que su implementaci\u00f3n cumpla con los requisitos adicionales de an\u00e1lisis de riesgos y documentaci\u00f3n antes de intentar una validaci\u00f3n de enfoque personalizado.<\/p>\n Para las organizaciones que usan controles de compensaci\u00f3n para cumplir un requisito de la versi\u00f3n 3.2.1, revise los requisitos actualizados y las opciones de validaci\u00f3n de la versi\u00f3n 4.0 para determinar el mejor enfoque.<\/p>\n En \u00faltima instancia, la selecci\u00f3n del enfoque de validaci\u00f3n correcto depender\u00e1 de la estrategia de seguridad de su organizaci\u00f3n y del enfoque de la gesti\u00f3n de riesgos. Considere cuidadosamente ambas opciones para asegurarse de elegir el enfoque correcto para su organizaci\u00f3n.<\/p>\n Para obtener m\u00e1s informaci\u00f3n sobre el enfoque personalizado, lea la\u00a0serie de blogs Enfoque personalizado<\/a>\u00a0y vea a Kandyce Young responder a las preguntas de las partes interesadas en este video\u00a0“Preguntas con el Consejo”.<\/a><\/p>\n Paso #5: Haz el trabajo<\/strong><\/p>\n Al hacer el trabajo, aseg\u00farese de involucrar a todos. Comunique su plan de transici\u00f3n en todos los departamentos y funciones, asegur\u00e1ndose de que todos sepan su papel y qu\u00e9 esperar. Defina claramente los roles y responsabilidades para cada requisito.<\/p>\n La gesti\u00f3n eficaz de proyectos es fundamental para una transici\u00f3n exitosa. Esto incluye mantener planes de proyecto precisos, definir hitos alcanzables y oportunos y realizar un seguimiento continuo de su progreso.<\/p>\n Finalmente, documenta todo. Establecer pol\u00edticas y procedimientos para apoyar la implementaci\u00f3n continua y consistente de los controles de seguridad. Tambi\u00e9n hay algunos requisitos de documentaci\u00f3n nuevos en PCI DSS v4.0 que es posible que deba abordar.<\/p>\n Paso #6: Utilice socios de confianza<\/strong><\/p>\n Es esencial educar y capacitar a su personal sobre su papel en mantener sus datos seguros y cumplir con PCI DSS. Identifique cualquier brecha de habilidades y capacite a sus equipos en cualquier nueva tecnolog\u00eda que est\u00e9 implementando. Esto es especialmente cierto para las peque\u00f1as empresas, donde cada miembro del equipo deber\u00e1 estar capacitado y ser consciente de su papel en la transici\u00f3n.<\/p>\n Al implementar controles de seguridad, as\u00f3ciese con un equipo de seguridad de confianza. Utilice profesionales calificados como profesionales de la\u00a0industria de tarjetas de pago (PCIP),<\/a>\u00a0asesores\u00a0de seguridad interna (ISA)<\/a>\u00a0and\u00a0asesores de seguridad calificados (QSA).<\/a>\u00a0Estas personas calificadas pueden apoyar la aplicaci\u00f3n consistente y adecuada de los controles PCI DSS.<\/p>\n