pcidss3-1

Con el fin de permitir un tiempo prudencial para que las organizaciones puedan preparar la implementación de los nuevos cambios en los estándares recién publicados  y ofrecer un “tiempo de gracia” en aquellos entornos que se encuentran alineados con los controles del estándar anterior y se encuentran próximos o en la ejecución de una auditoría de cumplimiento o presentación de un SAQ, el PCI DSS permite la convivencia solapada de dos versiones de sus estándares (la recién publicada y la remplazada) en un  umbral de 6 meses.

Conforme con las políticas de ciclo de vida de los estándares del PCI SSC, la versión 3.1 del estándar PCI DSS ha sido declarada obsoleta a partir del día 31 de octubre de 2016. Esto significa que a partir de ahora todas las implementaciones del estándar deberán estar alineadas y ser validadas conforme con los criterios de la versión 3.2, publicada en abril de 2016.

Es importante recordar que el estándar PCI DSS v.3.1 surgió como una respuesta a la avalancha de vulnerabilidades asociadas con SSL y versiones previas de TLS que obligaron al PCI SSC a modificar su concepto de “criptografía fuerte“, a limitar el uso de protocolos inseguros exclusivamente en escenarios específicos y justificados y a establecer fechas específicas para garantizar una migración a protocolos seguros.

Aprovechamos para invitar a nuestros lectores a visitar el foro o a dejar sus comentarios si tienen dudas al respecto.