lifecycle_pcissc

De acuerdo con el ciclo de vida de los estándares establecido por el PCI SSC, el día 7 de Noviembre de 2013 se hará la publicación de la versión 3.0 de PCI DSS (Data Security Standard) y PA DSS (Payment Application Data Security Standard).   Esta nueva versión incluye mejoras en controles relacionados con educación y formación, gestión de contraseñas, gestión de seguridad con terceros, mejoras en la respuesta en la detección de malware y otras amenazas y aclaraciones en evaluaciones de seguridad, entre otros. Todo como parte del proceso contínuo de mejora del cual hacen parte más de 700 organizaciones, incluyendo comercios, bancos, procesadores de pago, desarrolladores de software y hardware, la Junta de Asesores (Board of Advisors), fabricantes de sistemas de TPV y la comunidad en general.

La nueva versión del estándar empezará a ser efectiva a partir del 1 de Enero de 2014. Para permitir una migración paulatina hacia esta nueva versión, el estándar 2.0 seguirá activo hasta Diciembre de 2014.

Las fechas planificadas de migración son las siguientes:

fechasLos cambios a ser realizados en los estándares han sido clasificados en tres categorías:

  • Aclaración (Clarification): Cambios principalmente en el texto descriptivo del control, orientado hacia una mejor explicación del objetivo.
  • Guía adicional (Additional Guidance): Introduce ejemplos, instrucciones o definiciones adicionales que permiten aumentar el entendimiento o proporcionar mayor información en relación con algún aspecto del requisito.
  • Evolución del requisito (Evolving Requirement): Modificaciones completas o parciales del control que implican un cambio importante con el fin de adaptarse a las amenazas emergentes y/o cambios en el mercado.

A continuación se enumeran los cambios más importantes en cada uno de los estándares. Sin embargo, este listado está sujeto a modificaciones hasta que se realice la publicación final.

Cambios previstos en PCI DSS v3.0

Entre los principales cambios previstos en PCI DSS v3.0 se encuentran:

  • Mantener un diagrama de red que describa los flujos de datos de tarjetas de pago
  • Mantener un inventario de componentes de sistema dentro del alcance de cumplimiento (ver Cardholder Data Matrix)
  • Evaluar las amenazas provenientes de malware para sistemas que no son comúnmente afectados por malware
  • Actualización de la lista de vulnerabilidades comúnes para alinearse con OWASP, NIST, SANS, etc. para ser incluidas en prácticas de desarrollo seguro de software
  • Consideraciones adicionales de seguridad para mecanismos de autenticación tales como tokens físicos, smart cards y certificados
  • Protección contra manipulación o sustitución de terminales TPV (POS) y otros dispositivos
  • Implementar una metodología para la ejecución de pruebas de penetración y ejecución de este tipo de pruebas para verificar que los métodos de segmentación son operacionales y efectivos
  • Mantener información acerca de los controles de PCI DSS gestionados por proveedores de servicio y por la entidad. Los proveedores de servicio deben reconocer y aceptar su responsabilidad en el mantenimiento de los controles de PCI DSS que les aplican

Cambios previstos en PA DSS v3.0

Entre los principales cambios previstos en PA DSS v3.0 se encuentran:

  • Mejoras en los requerimientos orientados a los procesos de desarrollo de sistemas incluyendo revisiones de seguridad periódicas, verificación de la integridad del código fuente, una metodología de gestión de versiones, uso de técnicas de aplicación orientadas a modelado de amenazas en aplicaciones (application threat-modeling techniques) y un proceso de autorización formal antes de la publicación (release) final.
  • Actualización de la lista de vulnerabilidades comúnes para alinearse con OWASP, NIST, SANS, etc. para ser incluidas en prácticas de desarrollo seguro de software
  • Nuevos requerimientos para vendedores de aplicaciones de pago para proveer “Release Notes” en todas las actualizaciones
  • Nuevos requerimientos para la formación y entrenamiento de integradores/distribuidores (integrators/resellers) y personal de ventas

El listado completo de todos los cambios previstos se puede encontrar en el documento “Version 3.0 Change Highlights“, publicado en el sitio web del PCI SSC (Agosto 2013).