En septiembre de 2016 se cumplieron los primeros diez años del PCI Security Standards Council, organización encargada de la gestión de los estándares de seguridad de datos de tarjetas de pago. Desde su fundación, su objetivo ha sido establecer un marco de trabajo trasversal entre comercios, proveedores de servicio y entidades financieras para proteger los datos del titular de tarjeta de exfiltraciones y posteriores fraudes.

Antes de su existencia, cada una de las marcas que componen el comité (Visa, American Express, MasterCard, JCB y Discover) contaban con sus propios programas de seguridad, lo cual dificultaba su implementación para una organización que procesara diferentes tipos de tarjetas. Igualmente, el reporte de cumplimiento era bastante engorroso y el esfuerzo que se estaba realizando en aquel entonces era contraproducente. Adicionalmente, los incidentes de robo masivo de datos de tarjetas estaban a la orden del día y la necesidad de organización de una estrategia era una necesidad crítica.

card brands

Con la llegada del PCI SSC se centralizaron las mejores características de cada programa de seguridad de las marcas asociadas y se unificaron los controles en estándares globales, facilitando su adopción, control y mejora continua, aportando un conjunto de controles, procedimientos, documentación y auditorías para optimizar los niveles de protección de los entornos de los actores involucrados en las transacciones con tarjetas.

Ya han pasado 10 años desde la fundación del PCI SSC y los cambios en la seguridad de datos de tarjeta son latentes: implementación masiva de PCI DSS y PA DSS, formación a personal asociado, auditorías contínuas, gestión de incidentes, soporte para el uso de tecnologías seguras, despliegue de EMV y tokenización, etc. No obstante, no existe una “bala de plata” que garantice la seguridad completa: Las vulnerabilidades aparecen cada día, nuevas tecnologías de pago empiezan a surgir (contactless, uso de teléfonos móviles para pagos, etc.), los atacantes se especializan cada vez más y los controles actuales empiezan a quedar obsoletos. Las iniciativas del PCI SSC son solo una de las acciones necesarias para gestionar el riesgo de los datos de tarjetas de pago. El resto de la responsabilidad debe ser gestionada mediante la estrategia de gobernanza corporativa, gestión de riesgos y mejora continua.

En esta línea de tiempo traemos una descripción de los principales hitos en la historia del PCI SCC que nos permite analizar y entender la evolución en el cumplimiento desde el 2006 hasta el día de hoy. Aún queda mucho trabajo por hacer, pero el primer paso ya está dado.

Picture

Se publica la versión 1.0 de PCI DSS

Como resultado de los esfuerzos individuales de cada marca en cuanto a seguridad de la información, este día se publica la primera versión de PCI DSS, un estándar unificado de seguridad para datos de tarjetas de pago

Diciembre 14 de 2004

Picture

Fundación del PCI SSC y publicación de la versión 1.1 de PCI DSS

La versión 1.1 de PCI DSS incluyó (entre otras mejoras) el requerimiento 6.6 para la protección de servidores web publicados en internet. Igualmente, en esta fecha se hace oficial la fundación del PCI SSC, entidad encargada de la gestión de los estándares de seguridad de tarjetas de pago.

Septiembre 6 de 2006

Picture

Se publica la primera versión de PA DSS

En esta fecha se publica la primera versión de PA DSS. Este nuevo estándar entra a cubrir las necesidades de seguridad en aplicaciones de pago y complementa los niveles de seguridad definidos en PCI DSS.

Enero de 2008

Picture

Se publica la version 1.2 de PCI DSS

En la versión 1.2 de PCI DSS el estándar se reorganiza incluyendo nuevas columnas que permiten el seguimiento del cumplimiento. Se adicionan controles para el aseguramiento de redes inalámbricas y antivirus.

Octubre 1 de 2008

Picture

Se publican las versiones 1.2.1 de PCI DSS y PA DSS

La versión 1.2.1 de PCI DSS se trató como una versión “intermedia” que corregía algunos errores tipográficos en la versión 1.2. Al poco tiempo se publicó la versión 1.2.1 de PA DSS alineada con los cambios de PCI DSS.

Julio de 2009

Picture

Se publican las versiones 2.0 de PCI DSS y PA DSS

En la versión 2.0 de PCI DSS se eliminan los formularios de cumplimiento del documento del estándar, que se convierten en formatos independientes. Igualmente, se aclaró que el número de cuenta principal (PAN) es el factor que define la aplicacion de PCI DSS, se adicionan referencias a sistemas virtualizados, la clasificación de vulnerabilidades y se definió la revisión anual de proveedores. El estándar PA DSS v2.0 también es publicado en esta fecha.

Octubre de 2010

Picture

Se publica la versión 3.0 de PA DSS y PCI DSS

En esta fecha se publicaron las versiones 3.0 de PCI DSS y de PA DSS. Dentro de los cambios del estándar PCI DSS se encontraban la necesidad de definir un diagrama de flujo de datos, un inventario de activos en el entorno, se reforzaron los controles vinculados con contraseñas y se estipuló la necesidad de establecer una metodologia de pruebas de penetración, así como el reforzamiento de controles de segmentación. Más información en el artículo “Publicación de la versión 3.0 de PCI DSS y PA DSS

Noviembre de 2013

Picture

Se publica la versión 3.1 de PCI DSS

Debido a las vulnerabilidades de los protocolos SSL y TLS que estaban siendo explotadas activamente por usuario maliciosos, el PCI SSC publica la versión 3.1 de PCI DSS, en donde como novedades se excluía a SSL (todas las versiones) y TLS (1.0 y 1.1 bajo algunas excepciones) del concepto de “Criptografía Robusta”. Por ello, se requería la redacción de un plan de mitigación de riesgo y de migración a versiones seguras. En mayo de 2015 se realiza la publicación de PA DSS v3.1 para acondicionarse con los cambios en SSL y TLS definidos en PCI DSS. Más información en el artículo “No más SSL: El PCI SSC publica la versión 3.1 de PCI DSS

15 de abril de 2015

Picture

Se publica la versión 2.0 del estándar P2PE

Con el fin de establecer controles de seguridad robustos punto-a-punto, se publicó el estándar P2PE v2.0 que combinaba dispositivos seguros, aplicaciones y procesos que encriptan los datos desde el punto de interacción (lectura de banda o chip EMV) hasta que dichos datos son recibidos por un entorno seguro para ser descifrados para proceder con su autorización. Más información en el artículo “P2PE: Seguridad de los datos de tarjeta de pago de entremo a extremo

Julio de 2015

Picture

Se publica la versión 1.0 del estándar PCI TSP

El PCI SSC publica la versión 1.0 de PCI TSP (Payment Card Industry Token Service Providers), orientado al aseguramiento de los entornos que procesan tokenización.

Diciembre de 2015

Picture

Se publican las versiones 3.2 de PCI DSS y PA DSS

Las versiones 3.2 de PCI DSS y PA DSS son publicadas en esta fecha – fuera del ciclo trianual definido por el PCI SSC – justificando que los cambios eran “evoluciones” y no modificaciones radicales a los documentos. Entre los cambios más significativos se encuentran la realización semestral de pruebas de penetración si se emplea segmentación en el entorno, la definición de responsabilidades de cumplimiento de PCI DSS por parte de la Dirección y la revisión trimestral de la aplicación de procedimientos y políticas por parte del personal. Más información en el artículo “La espera ha finalizado: PCI DSS v3.2 ya está aquí

Abril de 2016

Picture

El PCI SSC publica la revisión 1.1 de los Cuestionarios de Auto-Evaluación (SAQ) de PCI DSS v3.2

 El 30 de enero de 2017 el PCI SSC publicó la revisión 1.1 de los Cuestionarios de Auto-Evaluación (Self-Assessment Questionnaires – SAQ) . Estas revisiones cubren correcciones menores (erratas) en ortografía y gramática e inclusión de guías adicionales para soportar el proceso de relleno de los cuestionarios. La revisión 1.0 de los SAQ fue publicada en abril de 2016, mientras que esta nueva revisión 1.1 fue publicada en enero de 2017. Adicionalmente, se han complementado los SAQ B-IP y C-VT para alineación con los cambios de la versión 3.2 de PCI DSS, incluyendo autenticación multi-factor y verificación de controles de segmentación.

30 de enero de 2017

Picture

El PCI SSC publica la versión 3.2.1 de PCI DSS

El 17 de mayo de 2018 el PCI SSC publicó la versión 3.2.1 del estándar PCI DSS, que incorpora cambios menores derivados de fechas de entrada en vigencia de controles que ya habían pasado y corrección de erratas. Más información aquí.

17 de mayo de 2018

Picture

El PCI SSC publica las versión 3.2.1 de los SAQ de PCI DSS

El 22 de junio de 2018 el PCI SSC publicó la actualización de los cuestionarios de autoevaluación (SAQ) y sus correspondientes plantillas de declaración de ciumplimiento (“Attestation of Compliance” – AoC) de la versión 3.2.1 de PCI DSS. Igualmente, se actualizaron otros documentos, entre los que se encuentran: SAQ Instructions and Guidelines, Prioritized Approach Guidance y Prioritized Approach Tool para alinearlos con esta nueva versión. Más información aquí.

22 de junio de 2018

Picture

El PCI SSC publica la versión 3.0 de PCI PIN

En agosto de 2018 el PCI SSC publicó la versión 3.0 del estándar PCI PIN. Esta nueva versión incluye nuevos requerimientos para la gestión de claves de encriptación de PIN y la definición de responsabilidades en el ecosistema de pago. Más información aquí.

Agosto de 2018