Después de tenernos en vilo durante algunos meses, el PCI Security Standards Council (PCI SSC) ha extendido los periodos de expiración de dispositivos validados en PCI HSM de la siguiente manera:

  • Se extiende el periodo de validación de dispositivos en PCI HSM v4 del 31 de diciembre de 2025 al 30 de junio de 2027. Esta fecha afecta a los fabricantes de dispositivos de seguridad que deseen certificar sus productos conforme al estándar PCI HSM v4.
  • Se amplía la fecha de expiración de dispositivos certificados en PCI HSM v3.x de abril de 2026 a abril de 2028 (dos años de extensión)
  • Se amplía la fecha de expiración de dispositivos certificados en PCI HSM v4.x de abril de 2032 a abril de 2033 (un año de extensión)

Este cambio se realiza para alinear las fechas y los periodos de migración entre estándares y adecuarlos a la publicación de la versión 5 del estándar PCI HSM, prevista para 2026.

El boletín informativo relacionado con este cambio se puede obtener aquí.

Adicionalmente, las fechas de expiración de los dispositivos validados en PCI HSM y PCI KLD v3.x ya se han actualizado en los listados del PCI SSC para adecuarse a este cambio:

¿Qué implicaciones tiene este cambio?

Gracias a esta extensión, muchas empresas que usan dispositivos criptográficos de seguridad (Secure Cryptographic Devices – SCD) como Hardware Security Modules (HSMs) o Key Loading Devices (KLDs) validados en PCI HSM v3.x pueden estar tranquilas durante dos años más, lo cual no significa que el problema se haya eliminado, sino que simplemente se ha pospuesto.

Este episodio, relacionado con la fecha de expiración de los dispositivos certificados en PCI HSM v3.x, evidenció numerosas debilidades en la cadena de suministro y en la gestión del ciclo de vida de los dispositivos criptográficos. Muchas entidades no tienen un plan de migración de dispositivos implementado ni contemplan este evento (expiración de dispositivos) como un riesgo en su operación, lo que demuestra que es necesario readaptar los procesos de análisis de riesgos y contemplar estos escenarios para no tener problemas similares en el futuro, sobre todo teniendo en cuenta los incidentes  actuales vinculados con problemas de disponibilidad de componentes electrónicos, principalmente memoria RAM y discos duros SSD, que se pueden extender a otros componentes relacionados.

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Deja un comentario