Durante el mes de junio de 2020 el PCI Security Standards Council (PCI SSC) ha publicado una serie de actualizaciones de sus estándares para linearse con los cambios en las tecnologías de los dispositivos de pago y con el fin de optimizar la protección contra los delincuentes que siguen desarrollando nuevas formas de acceder de forma no autorizada los datos de las tarjetas de pago.

En este sentido, los siguientes documentos fueron actualizados:

  • El estándar PCI PIN Transaction Security (PTS) Point-of-Interaction (POI) fue actualizado a la versión 6.0 que reorganiza sus módulos bajo las siguientes categorías: Physical and Logical, Integration, Communications and Interfaces y Life Cycle. Por otro lado, se limita los periodos de aprobación del firmware a tres (3) años, se requerirá que los dispositivos que interactúen con tarjetas con chip EMV soporten criptografía de curva elíptica (ECC) y se mejora el soporte para la aceptación de tarjetas con banda magnética en pagos móviles que usen soluciones homologadas bajo el estándar  Software-Based PIN Entry on COTS (SPoC).
  • Igualmente, el estándar PCI Software-Based PIN Entry on COTS (SPoC), orientado a la aceptación de pagos empleando teléfonos móviles y otros dispositivos genéricos denominados commercial off-the-shelf (COTS),  ha sido actualizado a la versión 1.1 que incluye revisiones menores tanto del estándar principal como del anexo para lectores de banda magnética (Magnetic Stripe Readers – MSR) para adecuarse a los cambios del estándar PCI PTS POI para permitir la integración con dispositivos PCI PTS SCRP que soporten esta funcionalidad.
  • Finalmente, el documento «Information Supplement: Assessment Guidance for Non-Listed Encryption Solutions» que describe la ejecución de evaluaciones en entornos que emplean encriptación punto-a-punto no listadas por el PCI SSC (Non-Listed Encryption Solutions) ha sido actualizado a la versión 1.1 para alinearse con los cambios del estándar PCI Point-to-Point Encription (PCI P2PE) v3.0, que fue publicado en diciembre de 2019. Con este cambio, aquellas soluciones no listadas podrán optimizar la seguridad de sus entornos mediante la aplicación de los nuevos controles de P2PE y las nuevas categorías de proveedores de componentes (PCI P2PE Component Providers).

Por otra parte, en el corto plazo se espera la publicación de la nueva versión del estándar PCI PIN (v3.1) y la inminente llegada del estándar PCI DSS versión 4.0 hacia la mitad del año 2021.

Desde PCI Hispano os mantendremos actualizados de estos cambios.

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.
View all posts