El 30 de abril de 2026 es la fecha estipulada para la expiración de los dispositivos criptográficos validados según PCI HSM versión 3.x. Si no tienes definida tu estrategia de migración, este artÃculo te interesa.
NOTA: El PCI SSC ha extendido la fecha de expiración de dispositivos PCI HSM v3.x dos años más (de abril de 2026 a abril de 2028). Más información en el artÃculo «Extensión de dos años para PCI PTS HSM v3«.
Payment Card Industry (PCI) PIN Transaction Security (PTS) Hardware Security Module (HSM) o, más conocido como PCI HSM, es un estándar de seguridad que define los requerimientos fÃsicos y lógicos de los módulos de seguridad de hardware (HSMs). Como todos los estándares, PCI HSM cuenta con diferentes versiones que han incorporado mejoras a lo largo de los años para adaptarse a las necesidades operativas y de seguridad de las actividades relacionadas con medios de pago, incluyendo el procesamiento de transacciones financieras, la personalización de tarjetas de pago, el ciclo de vida de claves criptográficas empleadas para la protección de datos sensibles, entre otros.
La versión 3.x de PCI HSM fue publicada en junio de 2016. De forma complementaria, el PCI SSC estableció el 30 de abril de 2026 como fecha de expiración de los dispositivos validados en esa versión.
Fecha de expiración vs. fecha de caducidad
Para los dispositivos criptográficos de seguridad (o Secure Cryptographic Devices – SCDs). que incluyen dispositivos de punto de interacción (Point-of-Interaction – POI) como PIN Entry Devices (PEDs) o Encrypting-PIN PAD (EPPs), asà como Key Loading Devices (KLDs) y Hardware Security Modules (HSMs), se han estipulado dos fechas clave en su ciclo de vida:
- Fecha de expiración (Expiry Date), que establece la fecha lÃmite a partir de la cual una entidad puede adquirir al vendedor dispositivos del modelo afectado. A partir de esta fecha, no se pueden comprar unidades adicionales ni desplegar en producción nuevas unidades del modelo afectado, salvo que hayan sido compradas ANTES de la fecha de expiración. Esta fecha la establece el PCI SSC, está vinculada con la versión del estándar especÃfica y se puede consultar en la lista de dispositivos PTS aprobados del PCI SSC:

- Fecha de caducidad (EOL/Sunset/Retire date), que establece la fecha lÃmite vinculada al uso de un dispositivo especÃfico. A partir de esa fecha, no se permite el uso del dispositivo afectado en un entorno de producción y debe ser removido inmediatamente. Dependiendo del estándar, esta fecha la establece el PCI SSC o las marcas de pago. Por ejemplo, en el estándar P2PE la fecha de caducidad es de seis (6) años después de la fecha de expiración:

Impacto de la fecha de expiración de PCI HSM v3.x
A partir del 1 de mayo de 2026 no se podrán adquirir nuevas unidades de los dispositivos afectados ni desplegarlos en producción, salvo que se hayan adquirido ANTES de esa fecha.
Algunos de los dispositivos y modelos afectados con esta medida son los siguientes:
- Thales payShield 10k
- Futurex EXP1000 y GSP3000
- IBM 4768 y 4769
- Utimaco (RealSec) Cryptosec DekatonÂ
- Atalla HSM AT1000
- Wordline Adyton
Como se puede observar, la gran mayorÃa de dispositivos HSM usados actualmente en medios de pago están afectados por esta medida.
Igualmente, algunos de los dispositivos KDL más importantes del mercado también están afectados:
- Castles VEGA3000
- Ingenico DESK3500
- Ingenico iCT250
- Thales payShield Trusted Management Device (TMD)
- Utimaco C3
¿Qué puedo hacer si mi dispositivo está expirado?
Si la entidad tiene un dispositivo validado en PCI HSM/KLD v3.x, es muy importante realizar las siguientes acciones para prevenir riesgos asociados con la cadena de aprovisionamiento en el caso de que se lleguen a necesitar nuevos dispositivos:
- Consultar INMEDIATAMENTE al fabricante para conocer cuál es su plan de migración del dispositivo afectado. Este plan puede ser el remplazo por un modelo nuevo o la recertificación del dispositivo en una versión del estándar superior.
- Ya que se permite el despliegue de dispositivos expirados si estos han sido adquiridos ANTES de la fecha de expiración, la entidad puede aprovisionarse de nuevas unidades de modelos afectados ANTES del 31 de abril de 2026 y almacenarlas por si se requieren en el futuro. En este caso, es esencial almacenar las órdenes de compra y las facturas como evidencia.
Enc ualquier caso, esta fecha de expiración implica que las entidades que usen dispositivos afectados deben prepararse para definir un plan de migración para prevenir cualquier problema si estos dispositivos requieren soporte técnico, reparación o remplazo, con el fin de garantizar una correcta continuidad en las operaciones.