El 30 de abril de 2026 es la fecha estipulada para la expiración de los dispositivos criptográficos validados según PCI HSM versión 3.x. Si no tienes definida tu estrategia de migración, este artículo te interesa.

NOTA: El PCI SSC ha extendido la fecha de expiración de dispositivos PCI HSM v3.x dos años más (de abril de 2026 a abril de 2028). Más información en el artículo «Extensión de dos años para PCI PTS HSM v3«.

Payment Card Industry (PCI) PIN Transaction Security (PTS) Hardware Security Module (HSM) o, más conocido como PCI HSM, es un estándar de seguridad que define los requerimientos físicos y lógicos de los módulos de seguridad de hardware (HSMs).  Como todos los estándares, PCI HSM cuenta con diferentes versiones que han incorporado mejoras a lo largo de los años para adaptarse a las necesidades operativas y de seguridad de las actividades relacionadas con medios de pago, incluyendo el procesamiento de transacciones financieras, la personalización de tarjetas de pago, el ciclo de vida de claves criptográficas empleadas para la protección de datos sensibles, entre otros.

La versión 3.x de PCI HSM fue publicada en junio de 2016. De forma complementaria, el PCI SSC estableció el  30 de abril de 2026 como fecha de expiración de los dispositivos validados en esa versión.

Fecha de expiración vs. fecha de caducidad

Para los dispositivos criptográficos de seguridad (o Secure Cryptographic Devices – SCDs). que incluyen dispositivos de punto de interacción (Point-of-Interaction – POI) como PIN Entry Devices (PEDs) o Encrypting-PIN PAD (EPPs), así como Key Loading Devices (KLDs) y Hardware Security Modules (HSMs), se han estipulado dos fechas clave en su ciclo de vida:

  1. Fecha de expiración (Expiry Date), que establece la fecha límite a partir de la cual una entidad puede adquirir al vendedor dispositivos del modelo afectado. A partir de esta fecha, no se pueden comprar unidades adicionales ni desplegar en producción nuevas unidades del modelo afectado, salvo que hayan sido compradas ANTES de la fecha de expiración. Esta fecha la establece el PCI SSC, está vinculada con la versión del estándar específica y se puede consultar en la lista de dispositivos PTS aprobados del PCI SSC:

 

  1. Fecha de caducidad (EOL/Sunset/Retire date), que establece la fecha límite vinculada al uso de un dispositivo específico. A partir de esa fecha, no se permite el uso del dispositivo afectado en un entorno de producción y debe ser removido inmediatamente. Dependiendo del estándar, esta fecha la establece el PCI SSC o las marcas de pago. Por ejemplo, en el estándar P2PE la fecha de caducidad es de seis (6) años después de la fecha de expiración:

Impacto de la fecha de expiración de PCI HSM v3.x

A partir del 1 de mayo de 2026 no se podrán adquirir nuevas unidades de los dispositivos afectados ni desplegarlos en producción, salvo que se hayan adquirido ANTES de esa fecha.

Algunos de los dispositivos y modelos afectados con esta medida son los siguientes:

Como se puede observar, la gran mayoría de dispositivos HSM usados actualmente en medios de pago están afectados por esta medida.

Igualmente, algunos de los dispositivos KDL más importantes del mercado también están afectados:

¿Qué puedo hacer si mi dispositivo está expirado?

Si la entidad tiene un dispositivo validado en PCI HSM/KLD v3.x, es muy importante realizar las siguientes acciones para prevenir riesgos asociados con la cadena de aprovisionamiento en el caso de que se lleguen a necesitar nuevos dispositivos:

  1. Consultar INMEDIATAMENTE al fabricante para conocer cuál es su plan de migración del dispositivo afectado. Este plan puede ser el remplazo por un modelo nuevo o la recertificación del dispositivo en una versión del estándar superior.
  2. Ya que se permite el despliegue de dispositivos expirados si estos han sido adquiridos ANTES de la fecha de expiración, la entidad puede aprovisionarse de nuevas unidades de modelos afectados ANTES del 31 de abril de 2026 y almacenarlas por si se requieren en el futuro. En este caso, es esencial almacenar las órdenes de compra y las facturas como evidencia.

Enc ualquier caso, esta fecha de expiración implica que las entidades que usen dispositivos afectados deben prepararse para definir un plan de migración para prevenir cualquier problema si estos dispositivos requieren soporte técnico, reparación o remplazo, con el fin de garantizar una correcta continuidad en las operaciones.

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Deja un comentario