En esta primera parte de esta serie «Análisis de PCI DSS v4.0» se analizará la historia detrás de la versión 4.0 del estándar, las variables que influyeron en su cambio y el proceso de revisión y publicación asociado. A continuación, en entregas subsiguientes, se realizará una revisión a los cambios en los requerimientos y en los documentos de reporte y finalmente se propondrá un plan de acción para el alineamiento de los controles de la versión 3.2.1 a la versión 4.0 para cumplir con los plazos establecidos por el PCI SSC y las marcas de pago.

El primer semestre del año 2022 ha sido bastante interesante para la comunidad de la ciberseguridad debido a la publicación del estándar ISO/IEC 27002:2022Information security, cybersecurity and privacy protection — Information security controls en febrero y la publicación de la versión 4.0 del estándar PCI DSS en marzo. En ambos casos, el objetivo fue actualizar los controles de seguridad existentes y agregar nuevos requisitos para adaptarlos a los cambios tecnológicos y a las amenazas de ciberseguridad actuales.

En el caso de PCI DSS v4.0, desde PCI Hispano hemos preparado una serie de artículos en donde se realizará un análisis detallado del proceso de desarrollo de esta versión del estándar, los cambios en los requisitos y el proceso de adaptación desde la versión 3.2.1 a la versión 4.0, entre otros temas.

Historia

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security StandardPCI DSS) surgió como resultado del trabajo conjunto de las principales marcas de tarjetas de pago, que optaron por centralizar los controles de seguridad de sus diferentes programas de cumplimiento en un único estándar que facilitara una implementación de medidas de seguridad y la gestión de la protección de datos de tarjetas de forma homogénea, evitando solapamientos, duplicidades e incongruencias.

Convergencia de los programas de seguridad de cada una de las marcas en el estándar PCI DSS

Es así como en el año 2004 se publicó la primera versión del estándar PCI DSS, que definió los principios básicos de ciberseguridad para la protección de los datos de tarjetas de pago que debían ser implementados por cualquier entidad que procesara, almacenara y/o transmitiera dichos datos, principalmente comercios y proveedores de servicio. Posteriormente, en el año 2006, se publicó la versión 1.1 del estándar, desarrollada esta vez por el Payment Card Industry Security Standards Council (PCI SSC), entidad independiente conformada por las principales marcas de tarjetas de pago y encargada de la gestión del ciclo de vida de PCI DSS y de otros estándares de la industria de medios de pago.

A medida que las empresas afectadas implementaban y gestionaban los controles del estándar, el PCI SSC empezó a recibir comentarios y sugerencias por parte de diferentes empresas y organizaciones relacionadas con la seguridad de medios de pago, algo que a la larga terminaría influyendo en la publicación de las siguientes versiones del estándar, incorporando mejoras, aclaraciones y correcciones menores basados en la retroalimentación provista por la comunidad.

Línea del tiempo del estándar PCI DSS

Con el fin de gestionar unos periodos específicos en la publicación del estándar PCI DSS que le permitieran al PCI SSC analizar e incorporar actualizaciones en el documento basadas en la experiencia de las empresas con su implementación y la evolución en tecnologías y amenazas, se definió un periodo de 36 meses con ocho etapas que permitieran una introducción gradual y escalonada de los cambios. No obstante, esta iniciativa no perduró por mucho tiempo debido a diferentes variables externas que obligaron a adelantar o a retrasar la publicación de las versiones subsiguientes del estándar, incluyendo el impacto de diferentes vulnerabilidades de SSL y TLS en la transmisión de datos de tarjetas por redes públicas abiertas y la optimización en los procesos de recepción de comentarios por parte de diferentes organizaciones.  De hecho, en el desarrollo de la versión 4.0 del estándar, los periodos planteados en este ciclo de vida no fueron seguidos y probablemente esto tampoco ocurra con versiones futuras.

Ciclo de vida para la gestión de cambios del estándar PCI DSS (no empleado actualmente)

Desarrollo y publicación del estándar PCI DSS v4.0

La versión 3.2.1 de PCI DSS fue publicada en mayo de 2018 como una versión menor que incluía algunas aclaraciones y revisiones de la versión 3.2, publicada a su vez en abril de 2016. Se podría decir que desde ese año (2016) no se habían agregado cambios sustanciales en el estándar, ya que se había logrado un equilibro entre el nivel de madurez de los controles y las necesidades de ciberseguridad en aquel momento.

No obstante, los cambios tecnológicos en infraestructuras vinculados con la masificación de servicios en la nube (cloud), la adopción de plataformas basadas en contenedores, orquestación y microservicios y la implantación de prácticas de desarrollo como DevOps, evidenciaron la necesidad de adaptar el estándar PCI DSS a los nuevos tiempos para afrontar los retos provenientes de amenazas emergentes contra los datos de tarjetas de pago.

A diferencia de las versiones anteriores del estándar, para el desarrollo de la versión 4.0 de PCI DSS el PCI SSC definió un nuevo modelo de trabajo que le permitía a las diferentes organizaciones relacionadas con pagos de tarjeta participar de forma activa en la revisión y preparación del estándar y de sus documentos de soporte a través de periodos de recepción de comentarios (Request for Comments (RFC)). Para el desarrollo de la versión 4.0 de PCI DSS se ejecutaron dos ejercicios de RFC: uno en el último trimestre de 2019 (con más de 3.200 comentarios) y otro entre septiembre y noviembre de 2020. Igualmente, al cierre de los procesos de RFC, se compartió de forma exclusiva un borrador del estándar (PCI DSS v4.0 Draft for Stakeholder Preview) con organizaciones participantes (Participating Organizations), asesores cualificados de seguridad (Qualified Security Assessors) y empresas aprobadas para la realización de escaneos de vulnerabilidades (Approved Scanning Vendors) para darle forma final a la versión 4.0, que fue publicada a finales de marzo de 2022, luego de más de 6000 comentarios recibidos desde más de 200 entidades.

A pesar de que los procesos de RFC permitieron alinear el estándar a la realidad de las entidades que deben implementar los controles de seguridad, también forzaron al aplazamiento en la publicación de la versión 4.0, inicialmente programada para Q2 de 2021, luego para Q4 de 2021 y finalmente publicada en Q1 de 2022.

Periodos de implementación de PCI DSS v4.0

Una vez publicada la versión 4.0 de PCI DSS y las plantillas de sus documentos de soporte (Report on Compliance (ROC) y Attestation of Compliance (AOC)), el PCI SSC confirmó las fechas durante las que los dos estándares serían válidos en paralelo, la fecha de retirada oficial del estándar PCI DSS v3.2.1 y la fecha de aplicabilidad de controles con fecha de entrada en vigor en el futuro, para permitir una correcta implementación por parte de las entidades afectadas:

Periodos de implementación de PCI DSS v4.0

De acuerdo con estas fechas, se ha definido un periodo de transición de 24 meses desde la publicación del estándar PCI DSS v4.0 (marzo 2022) en el cual la versión anterior (3.2.1) y la versión 4.0 podrán convivir, lo cual implica que las organizaciones afectadas pueden evaluarse con cualquiera de las dos versiones de forma indiferente. No obstante, a partir del 31 de marzo de 2024, la única versión válida para evaluaciones será la versión 4.0.

A lo largo del segundo trimestre de 2022 se publicarán tanto las traducciones del estándar como los Cuestionarios de Autoevaluación (Self-Assessment Questionnaires) y los Attestation of Compliance (AoC) relacionados.

Principales cambios en el enfoque del estándar

Nota: Los cambios relacionados con los requerimientos del estándar se analizarán en próximos artículos de esta serie.

Durante el proceso de desarrollo de la versión 4.0 del estándar PCI DSS, las prioridades del PCI SSC fueron la gestión de la evolución de riesgos y amenazas a los datos de pago y el refuerzo de la seguridad como un proceso continuo. Como resultado de la aplicación de estos criterios, los nombres de los grupos y los requisitos del estándar cambiaron entre la versión 3.2.1 y la versión 4.0, para reflejar esta evolución en los controles y para adaptarse a los cambios en las tecnologías:

Cambios en los nombres de los 6 grupos de requerimientos de PCI DSS 4.0

Cambios en los nombres de los 12 requerimientos de PCI DSS v4.0

Por otro lado, la versión 4.0 incorpora una gran cantidad de aclaraciones en la aplicabilidad del estándar que se venían esperando desde hacía años, con lo cual aquellas áreas ambiguas o que daban pie a interpretaciones se han aclarado y ya se cuenta con una posición oficial al respecto, que anteriormente podían no existir o podían estar presente en las Preguntas de Uso Frecuente (FAQ) del PCI SSC o en otros documentos de soporte, pero no en el estándar como tal.

Algunas de estas aclaraciones son:

Listado de aclaraciones incluídas en PCI DSS v4.0

No obstante, el cambio más significativo entre las versiones 3.2.1 y 4.0 de PCI DSS es la introducción del concepto de Enfoque Personalizado (Customized Approach). Mientras que en el enfoque tradicional (ahora denominado “Enfoque Definido” – Defined Approach) la entidad implementaba los controles técnicos establecidos tal y como aparecían en el estándar, en el Enfoque Personalizado la entidad puede seleccionar el control que considere más adaptado a su entorno para gestionar el riesgo, ofreciendo mayor flexibilidad y adaptación a soluciones emergentes. De esta manera, en el estándar PCI DSS v4.0 una entidad puede escoger entre usar el Enfoque Definido o usar el Enfoque Personalizado dependiendo de sus necesidades.

Descripción del Enfoque Definido y del Enfoque Personalizado en PCI DSS v4.0

Adicionalmente, el PCI SSC ha agregado una gran cantidad de ayudas gráficas (diagramas de flujo y figuras), así como aclaraciones al margen, guías en cada uno de los requerimientos, plantillas, ejemplos, etc. que hacen que esta versión sea una de las más descriptivas y autoexplicativas de todas las que han sido publicadas, aunque esto haya implicado pasar de 139 páginas en PCI DSS v3.2.1 a 360 páginas en PCI DSS v4.0.

En la parte II de esta serie se explicarán los cambios principales en los requisitos 1 y 2 del estándar. Puedes recibir notificaciones de la publicación de las siguientes partes de la serie en las páginas de LinkedIn y en el Twitter de PCI Hispano.

Referencias

¡Únete a la conversación! 4 Comentarios

  1. Estimado, pregunta:
    Supongamos que existe una empresa que requiere certificar (recertificar) en Febrero del 2024, podría certificar con PCI DSS 3.2.1? O ya sería necesario aplicar PCI DSS 4.0? Por otro lado, existe alguna modificación entre los requerimientos de certificación (documentos necesarios) y procesos de certificación (Ejemplo: SAQ – AOC VS ROC – AOC?)? Gracias!

    Responder
    • Hola Carlos:
      En febrero de 2024 una entidad podría evaluar su entorno en PCI DSS v3.2.1 o 4.0. A partir del 31 de marzo de 2024 solamente será posible evaluarse usando la versión 4.0.
      Respecto a los documentos de validación, todo continua exactamente igual a como se realizaba con PCI DSS v3.2.1: Report on Compliance (RoC) y Attestation of Compliance (AoC) para evaluaciones realizadas por un QSA y Self-Assessment Questionnaires (SAQ) y su correspondiente AoC para entidades que pueden reportar cumplimiento a través de un formulario de autoevaluación. Obviamente, estos documentos han sido adaptados a los requisitos del estándar PCI DSS en su versión 4.0.

      Responder
  2. Hola David, antes que nada agradecerte por este valioso blog y por compartir todo tu conocimiento.
    En relación al tema de las fechas, un comentario adicional. Leí recientemente en el Quarterly newsletter de Mastercard que ellos aceptarán evaluaciones frente a la v3.2.1 UNICAMENTE si estas evaluaciones están FINALIZADAS a la fecha del 31 de marzo de 2024. Hay un periodo de gracia de 3 meses más que lo otorgan para cuestiones de QA (Quality assurance) y otros procesos de wrap-up del reporte.
    Sabes algo al respecto que pueda confirmar o desmentir lo anterior? Te lo pregunto porque en mi empresa vamos a iniciar un ciclo de evaluación en Q4 de 2023 y estamos internamente en la discusión de cuál versión podemos usar.
    Algunas personas dicen que si la evaluación INICIA antes del 31 de marzo de 2024 puede hacerse basada en la v3.2.1. (independiente de la fecha en la que dicha evaluacipón finalice), pero esta posición difiere de lo que menciono más arriba.
    Muchas gracias!

    Responder

Responder a David AcostaCancelar respuesta

Categoría

Análisis de PCI DSS v4.0

Tags

, , , , , , , , ,