Para adaptarse a los cambios en los desarrollos tecnológicos y a las evoluciones de las amenazas a la seguridad de los datos de las tarjetas de pago, el Payment Card Industry Security Standards Council (PCI SSC) tiene planificadas las siguientes actualizaciones en sus estándares durante el trascurso del año 2021 (fechas sujetas a cambios sin previo aviso):

PCI Card Production v3.0

A finales del año 2020 se recibieron las observaciones procedentes de la primera ronda de comentarios (Request for Comments – RFC) por parte de las entidades participantes (Participating Organization – PO) de lo que será la tercera versión del estándar PCI Card Production, que define los controles de seguridad a ser implementados durante los procesos de estampación de tarjetas de pago (plásticos), personalización de tarjetas y grabación de datos tanto en banda magnética como en chip EMV.

La fecha de publicación de esta nueva versión del estándar PCI Card Production está programada para la segunda mitad del año 2021.

PCI PTS HSM v4.0

De igual manera, el estándar PCI PIN Transaction Security (PTS) Hardware Security Module (HSM) o PCI HSM será actualizado a su versión 4.0 también durante la segunda mitad de 2021. Este estándar provee una lista de todos los requerimientos de seguridad que deben ser cubiertos por los fabricantes de módulos de seguridad de hardware (HSM) para que puedan ser empleados en entornos que procesen datos de PIN, transacciones 3D-Secure, producción y personalización de tarjetas, etc.

PCI PIN v3.1

Esta actualización menor del estándar PCI PIN (actualmente en la versión 3.0) incluirá varias aclaraciones de aplicabilidad de requerimientos, actualizaciones en las fechas de implementación de Key Blocks, limitaciones de uso en longitudes de clave de varios algoritmos criptográficos y alineación de criterios entre los controles principales (Transaction Processing Operations) y los distintos anexos del estándar (Annex A – Symmetric Key Distribution using Asymmetric Techniques y Annex B – Key-Injection Facilities).

Se espera que su publicación ocurra el primer semestre de 2021.

Anexos al estándar PCI SPoC

A mediados del año 2020 se publicó la versión 1.1 del estándar PCI Software Based PIN Entry on COTS (SPoC), un estándar  que define los principios, requerimientos y metodologías de  evaluación para soluciones de aceptación de pagos donde la entrada del PIN se realiza en un dispositivo comercial genérico (Commercial Off-The-Shelf – COTS).

La aceptación que ha tenido este estándar ha sido masiva. No obstante, esto también se ha permitido la identificación de algunos puntos susceptibles de mejora, como el despliegue de este tipo de soluciones en sistemas operativos no soportados. Es por ello que el PCI SSC se encuentra desarrollando un nuevo anexo (Unsupported OS Annex) que le permitirá a los comercios usar una solución SPoC cuando existan dispositivos COTS con sistemas operativos no soportados sin afectar la confidencialidad o la integridad del dato del PIN capturado en dichos dispositivos.

La publicación de este anexo se realizará en la primera mitad del año 2021.

PCI DSS v4.0

Probablemente el cambio de versión más esperado este año será el del estándar Payment Card Industry Data Security Standard (PCI DSS). Esta nueva versión ya ha completado dos rondas de comentarios (la primera a finales de 2019 y la segunda a finales de 2020) y su publicación se espera que sea realizada en el segundo trimestre de 2021:

Los cambios que incluirá esta nueva versión del estándar alinearán los controles de seguridad a las necesidades actuales y futuras de la industria de pagos, mejorarán los métodos y procedimientos de validación de controles, agregarán más flexibilidad y soporte a metodologías adicionales para la alineación con los niveles de seguridad exigidos y promoverán la seguridad como un proceso continuo.

Desde PCI Hispano os mantendremos actualizados de estas nuevas publicaciones.


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.