PCI_DSS

Como recordaremos, en mayo de 2018 se publicó la versión 3.2.1 del estándar Payment Card Industry Data Security Standard (PCI DSS). Esta era una revisión menor de la versión 3.2, cuyo objetivo principal fue retirar una serie de fechas de entrada en vigencia de diversos controles que ya se habían cumplido y corregir algunas erratas, sin incluír ningún control nuevo o extender el alcance de los controles existentes. También, se caracterizó porque fue una versión publicada fuera de los 3 años establecidos dentro del ciclo de vida del PCI SSC para sus estándares.

PCI SSC Lifecycle

Figura 1. Ciclo de vida de los estándares del PCI SSC (actualmente obsoleto)

¿Cuándo se publicará PCI DSS?

Por lo que se sabe, el PCI SSC continuará por la misma línea de publicar sus estándares fuera de estos ciclos – con lo cual su programa del ciclo de vida de 3 años para la publicación de PCI DSS y PA DSS se convertirá oficialmente en obsoleto – y ha anunciado la publicación de la versión 4.0 de PCI DSS antes de finales del año 2020. Esta es una fecha estimada, ya que todo depende del trabajo de análisis de los comentarios recibidos en 2017 por parte de los grupos de trabajo.

¿Qué novedades traerá la versión 4.0 de PCI DSS?

Dentro de las novedades que se incorporarán en esta nueva versión se encuentran las siguientes:

  • Alineación de los controles de autenticación con las guías de contraseñas y autenticación multifactor (MFA) del NIST (Special Publication 800-63), incluyendo la protección de cuentas críticas, restricción del uso de contraseñas de un solo uso («One Time Password» – OTP) basadas en SMS y correo electrónico y recomendaciones generales para la selección de contraseñas y su complejidad.
  • Uso de encriptación en el tráfico dentro de redes confiables.
  • Incorporación de varios controles del Anexo 3 de PCI DSS (Validación suplementaria de entidades designadas) como controles regulares de PCI DSS.
  • Adición de soporte de metodologías adicionales para la gestión de seguridad del entorno.
  • Optimización de los métodos y procedimentos de validación.
  • Mejora de controles existentes relacionados con monitorización para incorporar los cambios tecnológicos actuales.
NIST's password tips

Figura 2. Recomendaciones del NIST para la gestión de contraseñas (posiblemente a ser empleadas por el estándar PCI DSS v4.0)

Desde PCI Hispano os mantendremos informados de cualquier noticia relacionada con la publicación de esta nueva versión.

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.