PCI DSS 4.0 ya está a la vuelta de la esquina

Aun siendo una normativa sectorial (tarjetas de pago) y debido al continuo incremento en el uso de este medio de pago, a estas alturas PCI DSS se ha convertido en una norma más que conocida.

Y es que es indiscutible, que en los últimos meses y sobre todo tras la llegada de la pandemia, nuestros hábitos de pago han cambiado. No solo hemos visto modificarse los hábitos en las transacciones online sino también en las presenciales, donde el efectivo, aunque siendo aún hoy en día el método de pago preferido en compras presenciales, va perdiendo poco a poco terreno frente al pago con tarjeta. Un cambio que comenzó con la llegada del COVID por el miedo a pagar con dinero físico y que ha decidido quedarse en las costumbres de los compradores a nivel mundial, donde el pago con tarjeta crece a gran velocidad.

Pero, ¿qué es la certificación PCI DSS y a quién afecta?

Por si aún existe alguna duda sobre la normativa, PCI DSS es una certificación de seguridad que tiene como objetivo reducir el fraude relacionado con las tarjetas de crédito e incrementar la seguridad de los datos que intervienen en las transacciones online.

Cumplir con PCI DSS es complicado y costoso, sino se cuenta con un partner adecuado, pero es necesario para proteger al usuario, salvaguardar la transacción e instaurar una marca de calidad. Esta normativa, desarrollada por las principales empresas de tarjetas de crédito (VISA, MasterCard, Discover, JCB y AMEX) busca garantizar la protección de los datos y la seguridad de las transacciones online. No importa la actividad a la que se dedique tu organización ni su tamaño. Si procesas, guardas o transmites datos de tarjetas debes cumplir con la norma o corres el riesgo de perder tu permiso para procesar tarjetas, de enfrentarte a rigurosas auditorías o ser sancionado con el pago de elevadas multas.

PCI DSS 4.0 a punto de ver la luz

PCI DSS actualmente está en su versión 3.2.1, lanzada ya hace casi 4 años en mayo de 2018. Debido a la ampliación en el periodo de recepción de comentarios y sugerencias para los documentos de validación de PCI DSS (plantillas del Report on Compliance (ROC), Self-Assessment Questionnaires (SAQs) y Attestation of Compliance (AOC)), el PCI Security Standards Council (PCI SSC) ha anunciado formalmente que la publicación de la versión 4.0 del estándar PCI DSS se realizará en las próximas semanas, tras un largo periodo de revisión.

No se espera un cambio significativo en los actuales 12 requisitos, ya que siguen siendo la base fundamental para proteger los datos de las tarjetas de pago. Pero se prevé que la norma evolucione para adaptarse a los cambios en las tecnologías, las técnicas de mitigación de riesgos y el panorama de las amenazas. También habrá una mayor flexibilidad en los métodos para cumplir con los objetivos de seguridad.

Objetivos clave de PCI DSS 4.0

Los objetivos clave que se han seguido para la elaboración de la versión 4, según el propio PCI SSC, son:

Garantizar que la norma siga satisfaciendo las necesidades de seguridad del sector de los pagos.
Añadir flexibilidad y apoyo a metodologías adicionales para lograr la seguridad.
Promover la seguridad como un proceso continuo.
Mejorar los métodos y procedimientos de validación.

Si ahondamos algo más en lo poco que sabemos sobre los cambios que depara la versión 4, podemos anunciar los más significativo:

Mayor flexibilidad en la implantación: hasta ahora, la norma explicaba paso a paso el “qué” y además el “cómo”. En la nueva versión se podrá realizar una implementación personalizada que permitirá una mayor flexibilidad en cómo las empresas consiguen el cumplimiento de ciertos requerimientos, diseñando sus propios controles. Eso sí, se deberá justificar debidamente la efectividad del control personalizado de cara al requerimiento en cuestión. Por lo tanto, cada empresa podrá elegir entre la implementación prescriptiva existente o la nueva implementación personalizada. Los controles compensatorios ya no serán una opción.
Nuevos requisitos y más estrictos: aunque se flexibilizará el modo en el que se llega al cumplimiento normativo, en la nueva versión nos encontraremos con la reestructuración de requisitos haciéndolos más estrictos, sobre todos aquellos que directamente rigen el modo en que las entidades transmiten, procesan y almacenan los datos de titulares de tarjetas.
Autenticación de doble factor (MFA): PCI SSC y el consorcio formado por Europay, MC y Visa han trabajado de la mano para tratar de crear mejores estándares, tanto en lo que se refiere a los procesos de accesos como a los propios procesos de pago. Es por esto, que probablemente ciertos controles de la versión 4.0 de PCI DSS estén muy cercanos a otros de PCI 3DS.
Mayor implantación del cifrado de datos: debido al creciente aumento de incidentes de data leaks y de la continua aparición de nuevas vulnerabilidades, el cifrado de datos ha dejado de ser una recomendación para convertirse en una obligación en todos los entornos. Y es aquí donde la nueva norma aumentará el foco, proporcionando nuevas medidas para aumentar la seguridad en la transmisión de los datos de tarjetas.
Ampliación de DESV (Designated Entities Supplemental Validation): hasta ahora, solo ciertas entidades que había sufrido algún tipo de incidente de seguridad, o por algún otro motivo que el Council estimaba conveniente, debían cumplir una serie de requerimientos adicionales. Se espera que algunos de estos requerimientos sean aplicados a todas las entidades, incorporándolos así a la nueva versión 4.0., sobre todos aquellos que tratan de la revisión periódica de controles críticos.

Una vez conocida una aproximación de los cambios que podemos esperar de la nueva versión, solo resta saber el cuándo.

En el último cronograma publicado por el PCI SSC podemos observar un periodo de transición que tendrá en cuenta la migración de PCI DSS v3.2.1 a v4.0 y que va desde abril de 2022 y se extiende hasta el primer trimestre de 2024. Aunque al no haberse publicado aún la fecha exacta definitiva estas fechas podrían variar.

Mientras tanto si necesitas garantizar la protección de datos y la seguridad en las transacciones económicas online, minimizar el fraude y transmitir confianza, pregúntanos cómo hacerlo. Estaremos encantados de ayudarte y de hacer que el proceso sea ágil y sencillo.