¿Qué es la norma de seguridad de datos PCI?
La norma de seguridad de datos PCI (PCI DSS) es una norma mundial que proporciona una base de requisitos técnicos y operativos designados para proteger los datos de pago. PCI DSS v 4.0 es la siguiente evolución de la norma.
¿Cuáles son los Objetivos de PCI DSS v 4.0?
- Seguir satisfaciendo las necesidades de seguridad del sector de los pagos
- Promover la seguridad como proceso continuo
- Añadir flexibilidad para diferentes metodologías
- Mejorar los métodos de validación
¿Cuál es el calendario de implementación PCI DSS V 4.0?
¿Qué hay de nuevo en PCI DSS v4.0?
En la última versión de la Norma se han incorporado muchos cambios. A continuación se presentan ejemplos de algunos de esos cambios:
1. Seguir satisfaciendo las necesidades de seguridad del sector de los pagos.
¿Por qué es importante?: Las prácticas de seguridad deben evolucionar a medida que cambian las amenazas.
Ejemplos:
– Ampliación de los requisitos de autenticación multifactorial.
– Actualización de los requisitos de las contraseñas.
– Nuevos requisitos para el comercio electrónico y la suplantación de identidad para hacer frente a las amenazas actuales.
2. Promover la seguridad como un proceso continuo.
¿Por qué es importante?: Los delincuentes nunca duermen. La seguridad continua es crucial para proteger los datos de pago.
Ejemplos:
– Asignación clara de funciones y responsabilidades para cada requisito.
– Se han añadido orientaciones para ayudar a comprender mejor cómo aplicar y mantener la seguridad.
– Nueva opción de informes para resaltar las áreas de mejora y proporcionar más transparencia a los revisores de los informes.
3. Aumentar la flexibilidad de las organizaciones que utilizan diferentes métodos para alcanzar los objetivos de seguridad.
¿Por qué es importante?: Una mayor flexibilidad permite más opciones para lograr el objetivo de un requisito y apoya la innovación de la tecnología de pagos.
Ejemplos:
– Permitir cuentas grupales, compartidas y genéricas.
– Los análisis de riesgos específicos permiten a las organizaciones establecer frecuencias para realizar determinadas actividades.
– El enfoque personalizado, un nuevo método para aplicar y validar los requisitos de la DSS de la PCI, ofrece otra opción a las organizaciones que utilizan métodos innovadores para alcanzar los objetivos de seguridad.
4. Mejorar los métodos y procedimientos de validación.
¿Por qué es importante? Las opciones claras de validación e información apoyan la transparencia y la granularidad.
Ejemplo:
– Mayor concordancia entre la información reportada en un Informe de Cumplimiento o Cuestionario de Autoevaluación y la información resumida en un Certificado de Cumplimiento.
Para obtener una visión completa, puedes consultar el resumen de cambios de la norma PCI DSS v3.2.1 a la v4.0, que se encuentra en la biblioteca de documentos del PCI SSC.
