Nota: Este artículo ha sido publicado originalmente en el blog de Advantio en idioma inglés.
De acuerdo con los últimos eventos acontecidos en relación con el actual brote de enfermedad por coronavirus (COVID-19), el Payment Card Industry Security Standards Council (PCI SSC) está desarrollando una serie de actividades a nivel interno y con sus asociados para prevenir la propagación y velar por la seguridad todo el personal involucrado en la seguridad de las transacciones de pago con tarjetas.
En este sentido, se han establecido las siguientes directrices:
Ampliación de las fechas de expiración de los dispositivos PCI PTS aprobados bajo la versión 3
Este 30 de abril del 2020 los dispositivos PIN Transaction Security Point-of-Interaction (PCI PTS) v3 serian declarados como expirados (incluyendo PEDs (PIN entry devices) y no PEDs, EPPs (encrypting PIN pads), UPTs (unattended payment terminal), y SCRs (Secure Card Readers)). Dependiendo de los criterios de cada marca de tarjetas de pago, los dispositivos caducados entran dentro de una categoría que incluye una serie de restricciones desde el punto de vista de adquisición y despliegue, ya que podrían ser susceptibles de ser afectados por las generaciones de ataques más recientes.
Debido a las interrupciones en la cadena de suministro relacionadas con el coronavirus, el PCI SSC ha extendido la fecha de expiración de los dispositivos certificados bajo la versión 3 hasta el día 30 de abril de 2021 (un año adicional a la fecha establecida inicialmente):
No obstante, para aquellas regiones o entidades que actualmente no están afectadas por el brote, el PCI SSC recomienda que se continúe con el plan inicial de remplazo hacia dispositivos certificados versión 4 o 5.
Más información:
- Approved PTS devices list: https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transaction_devices
- Boletín informativo del PCI SSC: https://www.pcisecuritystandards.org/pdfs/PCISSC_Bulletin_on_Extension_of_Expiry_for_PCI_PTS_POI_v3_Devices.pdf
- FAQ #1302: How does use of an expired PTS device affect my PCI DSS compliance? https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/How-does-use-of-an-expired-PTS-device-affect-my-PCI-DSS-compliance
- FAQ #1322: What are the expiry dates for PTS POI device approvals? https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/What-are-the-expiry-dates-for-PTS-POI-device-approvals
Ejecución de evaluaciones de cumplimiento formales de forma remota
Con el fin de prevenir posibles infecciones debido a reuniones, viajes, conferencias y otros eventos que impliquen la congregación de grupos de personas, el PCI SSC ha reconocido la necesidad de priorizar la salud y la seguridad de todo el personal involucrado en la realización de evaluaciones formales de cumplimiento de sus estándares. Para ello:
- Se permite la ejecución de validaciones de cumplimiento a distancia (de forma remota), siempre y cuando el asesor tenga restricciones para viajar a realizar las evaluaciones en sitio. Esto implicará que todas las tareas de validación de cumplimiento realizadas a distancia sigan los mismos niveles de seguridad e integridad que las evaluaciones en sitio.
- Se deberá notificar en los reportes de cumplimiento que las acciones de validación se realizaron a distancia y listar las acciones relevantes que fueron tenidas en cuenta para garantizar los niveles de seguridad requeridos.
- Las compañías asesoras pueden optar por usar asesores calificados locales para colaborar en la realización de las evaluaciones. En este caso, se puede delegar la realización de tareas en sitio a asesores subcontratados.
Más información:
- “Remote Assessments and the Coronavirus”: https://blog.pcisecuritystandards.org/remote-assessments-and-the-coronavirus
- FAQ #1455: Does a QSA need to be onsite at the client’s premises for all aspects of a PCI DSS assessment? https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Does-a-QSA-need-to-be-onsite-at-the-client-s-premises-for-all-aspects-of-a-PCI-DSS-assessment
Aplazamiento de diferentes eventos del PCI SSC
El foro del PCI SSC en India (India Town Hall) ha sido cancelado, mientras que las fechas de realización del foro de Latinoamérica (Latin America Forum) está siendo revisadas para garantizar la seguridad de todos los asistentes. Por ahora, los cursos de formación continúan con las mismas fechas.
Más información:
- PCI SSC events: https://events.pcisecuritystandards.org/
El PCI SSC ha publicado una página web en la cual irá ofreciendo información actualizada con relación a las acciones vinculadas con la gestión del cononavirus en https://www.pcisecuritystandards.org/covid19.
Desde PCI Hispano os mantendremos actualizados si hay actualizaciones relacionadas con este tema.
1 Comentario en respuesta a "Coronavirus (COVID-19): directrices del PCI SSC para minimizar el impacto de la epidemia"