El PCI Security Standards Council (PCI SSC) ha anunciado el lanzamiento de una sección de preguntas frecuentes (FAQ) destinada a proporcionar mayor claridad sobre los nuevos criterios de elegibilidad para el Cuestionario de Autoevaluación (SAQ) A recientemente actualizado. Esta iniciativa responde a las solicitudes de la industria y reafirma el compromiso de PCI SSC de ofrecer orientación clara y práctica a los comerciantes de comercio electrónico.
Con la llegada de la versión PCI DSS v4.0.1, que entrará en vigencia el 1 de abril de 2025, es fundamental que los comerciantes comprendan los nuevos requisitos y se preparen para cumplir con ellos.
Nuevos criterios de elegibilidad del SAQ A en PCI DSS v4.0.1
Para cumplir con los criterios de elegibilidad del SAQ A r1 de PCI DSS v4.0.1, los comerciantes deben confirmar que su sitio web no es vulnerable a ataques de scripts que podrían comprometer la seguridad de los sistemas de comercio electrónico.
La pregunta frecuente 1588 proporciona orientación sobre cómo los comerciantes pueden verificar esta seguridad mediante dos opciones principales:
- Implementación de medidas de seguridad en su página web:
- Utilizando técnicas recomendadas en los Requisitos 6.4.3 y 11.6.1 del PCI DSS para proteger el sitio web de ataques de scripts dirigidos a los datos de la cuenta.
- Estas técnicas pueden ser implementadas directamente por el comerciante o a través de un proveedor externo especializado.
- Confirmación por parte de proveedores de servicios de terceros (TPSP)/procesadores de pagos:
- Obtener garantía de que los proveedores de pago compatibles con PCI DSS han implementado soluciones que protegen la página de pago del comerciante de ataques de scripts.
- La protección se aplica cuando los comerciantes implementan las soluciones de TPSP de acuerdo con las instrucciones del proveedor.
A quiénes aplica el SAQ A
El SAQ A solo se aplica a comerciantes de comercio electrónico que usan un formulario o página de pago integrado proporcionado por un TPSP/procesador de pagos, utilizando elementos como iframes.
El SAQ A no es aplicable a:
- Comerciantes que redirigen a sus clientes a la página de pago de un TPSP (por ejemplo, a través de redirecciones HTTP 30x, meta etiquetas o JavaScript).
- Comerciantes que subcontratan completamente la función de pago enviando a los clientes un enlace a la plataforma del TPSP.
Recomendaciones para los comerciantes
Los comerciantes deben trabajar en estrecha colaboración con sus proveedores de servicios de pago para garantizar una implementación segura de las soluciones de pago. Además, es recomendable consultar con su adquirente o las marcas de pago pertinentes para confirmar si el SAQ A es el cuestionario de autoevaluación adecuado para su entorno específico.
Recursos adicionales
La nueva sección de preguntas frecuentes de PCI SSC ya está disponible en su sitio web. Estos recursos brindan información detallada sobre la seguridad de los datos y los criterios de validación, ayudando a los comerciantes a comprender mejor sus responsabilidades y reducir la incertidumbre en el cumplimiento de PCI DSS v4.0.1.
Con este nuevo recurso, los comerciantes de comercio electrónico pueden avanzar en su proceso de validación con mayor confianza, fortaleciendo la seguridad de los pagos y asegurando el cumplimiento de los estándares más recientes en la industria.
Fuente: PCI
También te puede interesar: Colombia Avanza en la Regulación de Criptomonedas
