El PCI SSC ha publicado el 17 de mayo de 2018 la nueva versión 3.2.1 del estándar PCI DSS, tal y como lo habían anunciado días atrás.

Dentro de los cambios entre la versión 3.2 y la versión 3.2.1 se encuentran:

  • Se corrigieron erratas menores y errores generales de ortografía.
  • Se remueven las referencias al Anexo A2 en los controles 2.2.3, 2.3 y 4.1.
  • El Anexo A2 solamente permitirá el uso de SSL y versiones tempranas de TLS en entornos de punto de venta / punto de interacción (POS POI) que no sean susceptibles de ser afectados por exploits conocidos. A partir del 30 de junio todos los comercios y proveedores de servicio deben hacer uso de versiones seguras de TLS.
  • En los controles 3.5.1, 6.4.6, 8.3.1, 10.8, 10.8.1, 11.3.4.1, 12.4.1, 12.11 y 12.11.1 se eliminan las referencias a las fechas de entrada en vigencia de febrero 1 de 2018, ya que esa fecha ha pasado y los controles han entrado totalmente en vigencia.

La nueva versión del estándar se puede descargar directamente de la biblioteca de documentos del PCI SSC o desde aquí (en inglés).

Por otro lado, las fecha de transición entre las versiones del estándar serán las siguientes:

  • Se permitirán validaciones con cualquiera de las dos versiones hasta el 31 de diciembre de 2018.
  • El 1 de enero de 2019 la versión 3.2 será obsoleta.
  • A partir del 1 de enero de 2019 todas las validaciones deberán ser realizadas únicamente con la versión 3.2.1 de PCI DSS.

Adicionalmente – y de forma contraria a lo anunciado inicialmente por el PCI SSC – se agregarán nuevos controles en los Cuestionarios de Auto-Evaluación (SAQ). En principio, el control 6.2 de PCI DSS (vinculado con el proceso de despliegue de actualizaciones de seguridad) será incorporado dentro del SAQ A (para comercios electrónicos y MO/TO con delegación de servicios en proveedores certificados PCI DSS). Estas nuevas versiones de los SAQ se publicarán en junio de 2018.

Finalmente, se anunció que la próxima versión de PCI DSS  tendra previsto su lanzamiento en 2020. Se puede encontrar mas información en el blog del PCI SSC.

Si quieres conocer toda la línea del tiempo de los estándares de PCI DSS, incluyendo las publicaciones de todas las versiones de PA DSS, PCI DSS, PCI PTS y P2PE, no olvides leer el artículo “La línea de tiempo del comité de estándares PCI SSC“.