¿Qué es la norma de seguridad de datos PCI?

La norma de seguridad de datos PCI (PCI DSS) es una norma mundial que proporciona una base de requisitos técnicos y operativos designados para proteger los datos de pago.  PCI DSS v 4.0 es la siguiente evolución de la norma.

¿Cuáles son los Objetivos de PCI DSS v 4.0?

  1. Seguir satisfaciendo las necesidades de seguridad del sector de los pagos
  2. Promover la seguridad como proceso continuo
  3. Añadir flexibilidad para diferentes metodologías
  4. Mejorar los métodos de validación

¿Cuál es el calendario de implementación PCI DSS V 4.0?

pci dss v 4.0

¿Qué hay de nuevo en PCI DSS v4.0?

En la última versión de la Norma se han incorporado muchos cambios. A continuación se presentan ejemplos de algunos de esos cambios:

1. Seguir satisfaciendo las necesidades de seguridad del sector de los pagos.
¿Por qué es importante?: Las prácticas de seguridad deben evolucionar a medida que cambian las amenazas.
Ejemplos:
– Ampliación de los requisitos de autenticación multifactorial.
– Actualización de los requisitos de las contraseñas.
– Nuevos requisitos para el comercio electrónico y la suplantación de identidad para hacer frente a las amenazas actuales.

2. Promover la seguridad como un proceso continuo.
¿Por qué es importante?: Los delincuentes nunca duermen. La seguridad continua es crucial para proteger los datos de pago.
Ejemplos:
– Asignación clara de funciones y responsabilidades para cada requisito.
– Se han añadido orientaciones para ayudar a comprender mejor cómo aplicar y mantener la seguridad.
– Nueva opción de informes para resaltar las áreas de mejora y proporcionar más transparencia a los revisores de los informes.

3. Aumentar la flexibilidad de las organizaciones que utilizan diferentes métodos para alcanzar los objetivos de seguridad.
¿Por qué es importante?: Una mayor flexibilidad permite más opciones para lograr el objetivo de un requisito y apoya la innovación de la tecnología de pagos.
Ejemplos:
– Permitir cuentas grupales, compartidas y genéricas.
– Los análisis de riesgos específicos permiten a las organizaciones establecer frecuencias para realizar determinadas actividades.
– El enfoque personalizado, un nuevo método para aplicar y validar los requisitos de la DSS de la PCI, ofrece otra opción a las organizaciones que utilizan métodos innovadores para alcanzar los objetivos de seguridad.

4. Mejorar los métodos y procedimientos de validación.
¿Por qué es importante? Las opciones claras de validación e información apoyan la transparencia y la granularidad.
Ejemplo:
– Mayor concordancia entre la información reportada en un Informe de Cumplimiento o Cuestionario de Autoevaluación y la información resumida en un Certificado de Cumplimiento.

Para obtener una visión completa, puedes consultar el resumen de cambios de la norma PCI DSS v3.2.1 a la v4.0, que se encuentra en la biblioteca de documentos del PCI SSC.