La Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) es un conjunto ampliamente reconocido de normas de seguridad que las organizaciones deben cumplir cuando manejan información de tarjetas de crédito. El Payment Card Industry Security Standards Council (PCI SSC) ha supervisado el PCI DSS desde 2004, cuando fue establecido por primera vez por American Express, Visa, Mastercard, Discover Financial Services y JCB International.
El 31 de marzo de 2022, el PCI Security Standards Council (PCI SSC) publicó la versión 4.0 de las PCI Data Security Standards (PCI DSS). PCI DSS v4.0 entra en vigor el 31 de marzo de 2024 y sustituye a la versión 3.2.1 de PCI DSS para abordar y combatir mejor las amenazas y tecnologías emergentes. Al igual que con todos los lanzamientos de versiones anteriores, el PCI SSC ha establecido un calendario de aplicación para cuándo se espera que las organizaciones realicen la transición a la nueva norma 4.0 y cuándo será obligatoria la nueva norma:
Las actualizaciones de la norma PCI DSS v4.0 tienen por objeto satisfacer las cambiantes necesidades de seguridad del sector de pagos, promover la seguridad como un proceso continuo, aumentar la flexibilidad y mejorar los procedimientos para las organizaciones que utilizan distintos métodos para alcanzar sus objetivos de seguridad. La nueva generación de la versión PCI DSS se propone alcanzar los cinco objetivos:
1. Mayor énfasis en la cultura y la gobernanza de la seguridad
Uno de los principales cambios de la versión 4.0 de PCI DSS es un mayor énfasis en la cultura y la gobernanza de la seguridad. La nueva versión exigirá a las organizaciones que establezcan y mantengan una cultura de seguridad formal que promueva la concienciación y la responsabilidad en materia de seguridad. Las organizaciones también deberán que dispongan de una estrategia de seguridad documentada y de políticas y procedimientos de seguridad formales.
2. Pruebas de penetración y gestión de vulnerabilidades
La versión 4.0 de PCI DSS introducirá nuevos requisitos para las pruebas de penetración y la gestión de vulnerabilidades. Las organizaciones deberán que lleven a cabo pruebas de penetración con mayor frecuencia, y tendrán que utilizar las últimas metodologías de pruebas de penetración estándar del sector. Además, las organizaciones tendrán que implantar programas de gestión de vulnerabilidades más sólidos, que incluyan el escaneado y parcheado periódicos de los sistemas.
3. Autenticación y controles de acceso mejorados
Otro cambio significativo de la versión 4.0 de PCI DSS es el requisito de mejorar la autenticación y los controles de acceso. Esto incluirá el uso de autenticación multifactor para todos los accesos al sistema y el uso de contraseñas y mecanismos de autenticación complejos. Además, las organizaciones tendrán que implantar controles más estrictos en torno al acceso remoto a los sistemas.
4. Nuevos requisitos para los entornos de nube y virtualización
La versión 4.0 de PCI DSS también introducirá nuevos requisitos para las organizaciones que utilizan entornos de nube y virtualización. Las organizaciones tendrán que garantizar que sus entornos de nube y virtualización son seguros y que están utilizando controles de de seguridad adecuados.
5. Requisitos más estrictos para los proveedores de servicios
Los proveedores de servicios también se enfrentarán a nuevos requisitos en virtud de PCI DSS 4.0. Se les exigirá deberán implementar medidas de seguridad adicionales en medidas de seguridad adicionales para proteger los datos de los titulares de tarjetas de sus clientes, como el cifrado y la autenticación multifactor. También deberán que presenten informes más detallados sobre el cumplimiento de la norma.
¿Qué está haciendo Keyfactor para prepararse?
En febrero de 2023, Keyfactor obtuvo la certificación PCI DSS v3.2. KeyfactorLa capacidad de integridad e identidad digital basada en PKI de admite todas las facetas de la confianza digital para dispositivos que procesan, almacenan y/o transmiten datos de titulares de tarjetas. Aunque Keyfactor no maneja directamente datos sensibles de titulares de tarjetas, muchos de sus clientes sí lo hacen. Con esta certificación, los clientes de Keyfactor seguirán evitando las filtraciones de datos y protegiendo aún más la información confidencial de las tarjetas de crédito de sus clientes.
Keyfactor se compromete a dar prioridad a la seguridad de sus clientes, y parte de ese compromiso consiste en respetar las normas mundiales actuales y futuras del sector. Como empresa de ciberseguridad que trabaja con empresas de sectores regulados, Keyfactor es responsable de proteger datos y sistemas.
Para obtener más información sobre los compromisos de seguridad y conformidad de Keyfactor, visite: https://www.keyfactor.com/seguridad-cumplimiento/
