El PCI Security Standards Council (PCI SSC) ha empezado este año 2019 con una serie de novedades que vaticinan que este será un año bastante movido en términos de seguridad en transacciones con tarjetas de pago:

  • Tal y como se explicó en el artículo «PCI Software Security Standard (S3) Framework: La evolución de PA DSS llegará a finales de 2018«, con un poco de retraso este 16 de enero de 2019 se publicó el marco de trabajo para la seguridad del software (PCI Software Security Framework), consistente en dos documentos principales: el PCI Secure Software Standard (S3) y el PCI Secure SLC Standard. Estos dos documentos entrarán a remplazar en un futuro al estándar «Payment Application Data Security Standard» (PA DSS) y han sido publicados con el fin de actualizar los controles de seguridad asociados con el desarrollo de software a las necesidades de hoy en día. Es importante anotar que tanto PA DSS como los estándares del PCI Software Security Framework son aplicables exclusivamente a empresas desarrolladoras que ofrecen software para la industria de pagos con tarjetas y que es vendido, distribuído o licenciado sin mayores modificaciones (“off the sheld»). 
  • También, se publicó la actualización 2.0 del suplemento informativo «Best Practices for Maintaining PCI DSS Compliance«. Este documento describe una serie de criterios y recomendaciones para ayudar a aquellas organizaciones que ya cumplen con PCI DSS a mantener los niveles de seguridad proporcionados por los controles del estándar a lo largo del tiempo. En PCI Hispano ya habíamos analizado la versión 1.0, publicada en agosto de 2014.
  • Por otro lado, el estándar PCI Software-based PIN Entry on COTS (SPoC) recibirá una serie de actualizaciones para permitir la integración con lectores de banda magnética a través de un anexo denominado «PCI SPoC Magnetic Stripe Reader (MSR)» y la aceptación de pagos «contactless» empleando los lectores NFC nativos de los teléfonos y tabletas. Estas actualizaciones se publicarán en mayo de 2019 y a finales del 2019, respectivamente.
  • Finalmente, el programa PCI PIN (orientado a la seguridad del dato del PIN en transacciones presenciales) cambiará la forma en cómo formará a sus auditores y en cómo desarrollará sus auditorías. A través de la iniciativa «Qualified PIN Assessor» (QPA) se han definido los nuevos criterios a seguir por aquellas empresas que ya hayan ejecutado auditorías de PCI PIN o nuevas empresas que quieran empezar a ofrecer estos servicios. En principio, se contará con formación presencial y no será necesario que la empresa esté listada como QSA para poder ejecutar auditorías de PCI PIN. La gestión de los listados de las empresas homologadas para desarrollar auditorías de PCI PIN será responsabilidad de las marcas de pago.

Desde PCI Hispano os mantendremos informados de más novedades y más adelante analizaremos en detalle cada una de estas noticias y nuevos documentos. No olvidéis visitarnos de forma regular y seguirnos en nuestras redes sociales.