La espera ha finalizado: PCI DSS v3.2 ya está aquí

card

Tal y como lo veníamos anunciando en PCI Hispano, el PCI SSC ha publicado la nueva versión 3.2 de PCI DSS que se podrá encontrar en la Document Library del sitio web del Council.

Dentro de los cambios claves se encuentran:

  • 5 nuevos sub-requerimientos para proveedores de servicio que afectan a los requerimientos 3, 10, 11 y 12, siendo los más importantes la realización semestral de pruebas de penetración si se emplea segmentación en el entorno, la definición de responsabilidades de cumplimiento de PCI DSS por parte de la Dirección y la revisión trimestral de la aplicación de procedimientos y políticas por parte del personal.
  • Nuevos sub-requerimientos adicionados al requerimiento 8.3 vinculados con el uso obligatorio de autenticación multi-factor para cualquier acceso administrativo al CDE que no sea de consola y para cualquier acceso remoto de usuarios (originado desde fuera de la red de la organización), administradores y terceros.
  • La formación en desarrollo seguro a los desarrolladores vinculados con el entorno deberá ser anual (como mínimo)
  • Se ha incorporado el Anexo A2 con la información de migración y mitigación de vulnerabilidades de SSL/TLS, dentro del cual se indica que en junio 30 de 2016 todos los proveedores de servicio deben ofrecer sus servicios con protocolos seguros
  • Se ha incorporado el Anexo A3 con la información del documento «Designated Entities Supplemental Validation” (DESV), dentro del cual se especifica – entro otros – la necesidad de implementar una metodología para la búsqueda de datos de tarjetas de pago almacenados en texto claro

Igualmente, se ha confirmado que la fecha de retiro de PCI DSS v3.1 será el día 31 de octubre de 2016.

Complementando el estándar se han publicado otros documentos de interés:

En el siguiente video (perteneciente al Webminar de PCI DSS 3.2) se describen los cambios de la versión y se ofrece información adicional al proceso de migración y adaptación:

En próximos días actualizaremos nuestro contenido y recursos para alinearlos con los cambios de la nueva versión. No olvides visitarnos frecuentemente y seguirnos en las redes sociales.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

  1. Buenos días, necesitaria que un trabajador de la empresa se formase en PCI-DSS v.3.2 y que obtuviese un titulo de la realización del curso, ya que nos lo piden en el proyecto en el que está trabajando.
    ¿Dónde podría encontrar el curso?

    • Buenas tardes María. Supongo que la formación a la que te refieres es la que se indica en el requerimiento 12.6 de PCI DSS. En este caso, no es estrictamente obligatorio que la formación tenga que ser realizada por un tercero o que se tenga que obtener un título. Hay muchas opciones para cubrir este requisito, desde realizar una formación interna, usar cursos en línea disponibles (incluyendo cursos del propio PCI SSC como el PCI Awareness https://www.pcisecuritystandards.org/program_training_and_qualification/requirements_awareness) o contratar a una empresa experta para que ofrezca esta formación. Lo que sí es importante es que se obtenga evidencia de esta acción (que puede ser el material de formación, listas de asistencia, diplomas, certificados, etc.), que se realice esta formación antes de que el empleado tenga acceso al entorno de PCI DSS y de forma anual y que se firme la aceptación de la política de seguridad corporativa.