Nota: Este artículo ha sido publicado originalmente en el blog de Advantio en idioma inglés.

De acuerdo con los últimos eventos acontecidos en relación con el actual brote de enfermedad por coronavirus (COVID-19), el Payment Card Industry Security Standards Council (PCI SSC) está desarrollando una serie de actividades a nivel interno y con sus asociados para prevenir la propagación y velar por la seguridad todo el personal involucrado en la seguridad de las transacciones de pago con tarjetas.

En este sentido, se han establecido las siguientes directrices:

Ampliación de las fechas de expiración de los dispositivos PCI PTS aprobados bajo la versión 3

Este 30 de abril del 2020 los dispositivos PIN Transaction Security Point-of-Interaction (PCI PTS) v3 serian declarados como expirados (incluyendo PEDs (PIN entry devices) y no PEDs, EPPs (encrypting PIN pads), UPTs (unattended payment terminal), y SCRs (Secure Card Readers)). Dependiendo de los criterios de cada marca de tarjetas de pago, los dispositivos caducados entran dentro de una categoría que incluye una serie de restricciones desde el punto de vista de adquisición y despliegue, ya que podrían ser susceptibles de ser afectados por las generaciones de ataques más recientes.

Debido a las interrupciones en la cadena de suministro relacionadas con el coronavirus, el PCI SSC ha extendido la fecha de expiración de los dispositivos certificados bajo la versión 3 hasta el día 30 de abril de 2021 (un año adicional a la fecha establecida inicialmente):

No obstante, para aquellas regiones o entidades que actualmente no están afectadas por el brote, el PCI SSC recomienda que se continúe con el plan inicial de remplazo hacia dispositivos certificados versión 4 o 5.

Más información:

Ejecución de evaluaciones de cumplimiento formales de forma remota

Con el fin de prevenir posibles infecciones debido a reuniones, viajes, conferencias y otros eventos que impliquen la congregación de grupos de personas, el PCI SSC ha reconocido la necesidad de priorizar la salud y la seguridad de todo el personal involucrado en la realización de evaluaciones formales de cumplimiento de sus estándares. Para ello:

  • Se permite la ejecución de validaciones de cumplimiento a distancia (de forma remota), siempre y cuando el asesor tenga restricciones para viajar a realizar las evaluaciones en sitio. Esto implicará que todas las tareas de validación de cumplimiento realizadas a distancia sigan los mismos niveles de seguridad e integridad que las evaluaciones en sitio.
  • Se deberá notificar en los reportes de cumplimiento que las acciones de validación se realizaron a distancia y listar las acciones relevantes que fueron tenidas en cuenta para garantizar los niveles de seguridad requeridos.
  • Las compañías asesoras pueden optar por usar asesores calificados locales para colaborar en la realización de las evaluaciones. En este caso, se puede delegar la realización de tareas en sitio a asesores subcontratados.

Más información:

Aplazamiento de diferentes eventos del PCI SSC

El foro del PCI SSC en India (India Town Hall) ha sido cancelado, mientras que las fechas de realización del foro de Latinoamérica (Latin America Forum) está siendo revisadas para garantizar la seguridad de todos los asistentes. Por ahora, los cursos de formación continúan con las mismas fechas.

Más información:

El PCI SSC ha publicado una página web en la cual irá ofreciendo información actualizada con relación a las acciones vinculadas con la gestión del cononavirus en https://www.pcisecuritystandards.org/covid19.

Desde PCI Hispano os mantendremos actualizados si hay actualizaciones relacionadas con este tema.

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.