Cambios en el SAQ A de PCI DSS v4.0.1

Como parte de los esfuerzos para lograr balancear seguridad y cumplimiento, el PCI SSC anunció el 30 de enero de 2025 que los controles relacionados con la seguridad de páginas de pago (6.4.3 y 11.6.1) serán removidos del Cuestionario de Autoevaluación A (Self-Assessment Questionnaire – SAQ A), orientado a comercios.

Actualización Febrero 28, 2025
El 28 de febrero de 2025 el PCI SSC publicó una nueva pregunta de uso frecuente (FAQ #1588) aclarando el criterio de elegibilidad del SAQ A, tal y como se explica abajo en la sección «Actualización de febrero de 2025)».

Después de muchas discusiones y revisiones internas (sobre todo, derivadas del grupo de trabajo de comercio electrónico, que actualmente está trabajando en un suplemento informativo para la seguridad de páginas de pago, a ser publicado en el corto plazo), el PCI SSC ha anunciado que el Cuestionario de Autoevaluación A (Self-Assessment Questionnaire – SAQ A) ha sido modificado removiendo los controles 6.4.3 y 11.6.1, así como el control 12.3.1 para el Targeted Risk Analysis (TRA) que soporta el requiremiento 11.6.1:

Requerimiento 6.4.3

Requerimiento 11.6.1

Requerimiento 12.3.1

Igualmente, el criterio de elegibilidad (Eligibility Criteria) empleado para permitir identificar si el comercio puede o no puede emplear el SAQ A también ha sido modificado, agregando una confirmación expresa por parte de la entidad de que su sitio web de comercio electrónico no es susceptible a ataques a través de scripts (o contenido activo):

Criterio de elegibilidad para el SAQ A

Implicaciones de estos cambios en el SAQ A

La remoción de estos controles en el SAQ A (en el que el comercio delega enteramente el procesamiento de datos de tarjetas en un proveedor validado en PCI DSS – fully outsourced) tiene dos caras:

  • Por un lado, facilita el cumplimiento de aquellos comercios que usan soluciones integración con plataformas de pago empleando redirección o iFrames, disminuyendo tres controles.
  • Sin embargo, deja expuesta a la entidad a potenciales ataques derivados de manipulaciones de los controles de redirección o de integraciones vía iFrames que involucren interacción con el sitio en donde se encuentran alojados.

En ese sentido, se ha removido la gestión del riesgo de ataques a páginas de pago del SAQ A siempre y cuando el comercio CONFIRME que EFECTIVAMENTE su servicio de comercio electrónico no es susceptible a ataques a través de scripts, por lo que es IMPRESCINDIBLE que se realice una evaluación preliminar para validar estos escenarios.

En conclusion: Se remueven los controles 6.4.3, 11.6.1, 12.3.1 SIEMPRE Y CUANDO el comercio CONFIRME que su sitio web NO ES VULNERABLE a ataques a través de scripts. De lo contrario, es necesario implementar los controles de otros SAQs como el SAQ A-EP o SAQ D.

Actualización de febrero de 2025

Debido a las dudas surgidas a raíz de la forma en la cual el comercio debe confirmar que si sitio no es vulnerable a ataques a través de scripts, en febrero de 2025 el PCI SSC publicó una nueva FAQ (FAQ #1588 How does an e-commerce merchant meet the SAQ A eligibility criteria for scripts?) en donde se hacen las siguientes aclaraciones:

  • Se aclara que esta confirmación no aplica cuando el comercio realiza una redirección a la página del proveedor de pago o cuando se delega totalmente las funciones de pago a un proveedor (full outsourcing).
  • Esta confirmación debe realizarse solamente cuando el sitio web del comercio incluye un formulario o página de pago de un proveedor de pagos embebida en uno o más inline frames (iFrames). En este caso, se debe proceder como sigue:
    • El comercio o el proveedor debe implementar técnicas como las descritas en los requerimientos 6.4.3 o 11.6.1 para proteger la página web del comercio de scripts dirigidos a la obtención de datos de tarjetas, o
    • Obtener confirmación desde el proveedor de pagos del comercio que provee el formulario o la página de pago embebida de que su solución protege la página de pago del comercio de ataques de scripts cuando se despliega siguiendo las instrucciones del proveedor.

Igualmente, se aclara que un proveedor de scripts de terceros no es considerado un proveedor de servicios (Third-Party Service Provider – TPSP) si los scripts no están relacionados con el procesamiento de pagos y no impactan la seguridad de los datos de tarjetas.

En conclusion: Si el comercio usa iFrames, debe implementar controles para la protección de scripts maliciosos (tales como 6.4.3 o 11.6.1) o consultarle a su proveedor de pagos si estas técnicas están implementadas en su entorno.

Fechas de entrada en vigor

Las siguientes son las fechas de entrada en vigor de estos cambios:

  • 31 de marzo de 2025: La versión de octubre de 2024 del SAQ A será removida.
  • 1 de abril de 2025: La versión de enero de 2025 (SAQ A r1) entrará en vigor, sin incluir los controles 6.4.3. 11.6.1 ni 12.3.1

Descargas

La nueva versión del SAQ A (SAQ A r1) ya está disponible para descarga en el sitio web del PCI SSC.

Igualmente, aquí se encuentra el comunicado oficial del PCI SSC al respecto: Important Updates Announced for Merchants Validating to Self-Assessment Questionnaire A

Deja un comentario