El 11 de junio de 2024 el PCI SSC publicó la versión 4.0.1 del estándar PCI DSS, que remplaza a la versión 4.0 publicada en marzo de 2022 Esta nueva versión contiene revisiones menores, correcciones tipográficas y de formato y aclaraciones sin añadir o remover requerimientos de la versión 4.0.
Después de un par de años desde la publicación de la versión 4.0 del estándar PCI DSS, el PCI Security Standards Council (PCI SSC) decidió evaluar e integrar algunos cambios menores en el estándar que surgieron de la experiencia en la implementación de los controles de seguridad por parte las entidades afectadas por este estándar (principalmente comerciantes y proveedores de servicios). Como resultado, en junio de 2024 se publicó la versión 4.0.1 de PCI DSS, cuyos documentos pueden ser descargados de la pagina principal del PCI SSC: Estándar PCI DSS v4.0.1. Igualmente, todos los detalles de los cambios entre versiones se puede encontrar aquÃ: Resumen de los cambios entre las versiones 4.0 y 4.0.1.
Algunos de los cambios más relevantes en esta versión son:
Uso de cifrado a nivel de disco o de partición (3.5.1.2):
- Se agregó la siguiente frase en las Applicability Notes del requerimiento: «This requirement applies to any encryption method that provides clear-text PAN automatically when a system runs, even though an authorized user has not specifically requested that data«. Este parágrafo puede dar pie a la inclusión de métodos empleados en bases de datos como Transparent Data Encryption (TDE) como control que pueda requerir la implementación de mecanismos adicionales como los descritos en el requerimiento 3.5.1.
Instalación de actualizaciones de seguridad (6.3.3):
Uno de los cambios que más afectaba el despliegue de actualizaciones era el 6.3.3 que en la versión 4.0 requerÃa que las actualizaciones crÃticas o altas se instalaran dentro del mes posterior a su publicación. En la versión 4.0.1 se regresa al criterio de PCI DSS v3.2.1 en donde solamente las actualizaciones crÃticas deben ser instaladas dentro del mes posterior a su publicación, mientras que el resto se deben desplegar de acuerdo con los periodos definidos por la entidad:
- PCI DSS v4.0: Critical or high-security patches/updates (identified according to the risk ranking process at Requirement 6.3.1) are installed within one month of release.
- PCI DSS v4.0.1: Patches/updates for critical vulnerabilities (identified according to the risk ranking process at Requirement 6.3.1) are installed within one month of release.
Monitorización de scripts en páginas de pago (6.4.3):
Se agregaron aclaraciones que amplÃan la responsabilidad en la monitorización de scripts en páginas de pago a aquellos proveedores que permiten que su contenido sea incrustado en la página de pago del cliente (a través de iFrames, por ejemplo). En este sentido, el proveedor deberá demostrar que cumple con este requisito como parte de sus responsabilidades contractuales (req. 12.9).
Cambio de contraseñas cada 90 dÃas (8.3.9):
Se aclara que el requerimiento de cambio de contraseñas cada 90 dÃas o de análisis dinámico en tiempo real de la postura de seguridad de la cuenta no aplica a componentes del sistema en el alcance en donde se usa MFA.
Uso de MFA en accesos que no son por consola al CDE (8.4.2):
Se aclara que este requerimiento no aplica a cuentas de usuario que son autenticadas únicamente con factores que son resistentes a ataques de phising (phishing resistant).
Un elemento de autenticación resistente a phishing (Phishing Resistant Authentication) son aquellos diseñados para evitar la divulgación y el uso de secretos de autenticación a cualquier parte que no sea el sistema legÃtimo en el que el usuario está intentando autenticarse (por ejemplo, a través de ataques in-the-middle o de suplantación). Los sistemas resistentes al phishing suelen implementar la criptografÃa asimétrica como control de seguridad básico.
Los sistemas que dependen únicamente de factores basados en el conocimiento o limitados en el tiempo, como contraseñas o contraseñas de un solo uso (OTP), no se consideran resistentes al phishing, como tampoco lo son los SMS o los enlaces mágicos (magic links).
Algunos ejemplos de autenticación resistente al phishing son FIDO, incluyendo dispositivos como Yubikeys o Passkeys.
Uso de controles de acceso fÃsico al CDE (9.2.1):
Se aclara que este requerimiento no aplica a ubicaciones que son de acceso público para los titulares de tarjetas (cardholders).
Uso de mecanismos automatizados para la revisión de logs (10.4.1.1):
Se aclara que para el uso de mecanismos automatizados para la revisión de logs es importante establecer una lÃnea base (baseline) de los patrones normales de actividad. La comparación entre dicha lÃnea base y nuevos comportamientos facilitará la identificación de actividades sospechosas.
Monitorización de cambios y manipulaciones en encabezados HTTP y contenidos de scripts en páginas de pago (11.6.1):
Al igual que con el requerimiento 6.4.3, se amplÃa el alcance de este requerimiento no solo a la entidad sino también a sus proveedores de servicio cuando se incrusta contenido de dichos proveedores en la página de pago de la entidad.
Acuerdos escritos y aceptaciones de responsabilidad de datos de tarjetas por parte de los proveedores (12.9.1):
Se aclara que un acuerdo escrito (written agreement) en el cual un proveedor se hace responsable de los datos de tarjeta provistos por una entidad cliente para efectos del servicio debe ser un documento independiente en el cual queden explÃcitas estas responsabilidades y no puede ser remplazado o cubierto por ninguno de los siguientes documentos:
- El Attestation of Compliance (AoC) de PCI DSS proporcionado por el proveedor
- Una declaración escrita en la página web del proveedor
- Una declaración de principios (policy statement)
- Una matriz de responsabilidades
Entrada en vigencia de PCI DSS v4.0.1 y retirada de PCI DSS v4.0
PCI DSS v4.0.1 entró en vigencia en el momento de su publicación, con lo cual ambas versiones del estándar (v4.0 y v4.0.1) serán válidas hasta el 31 de diciembre de 2024, cuando la versión 4.0 sera retirada.
Otros documentos relacionados como las plantillas de Report on Compliance (RoC), Attestation of Compliance (AoC) y Self-Assessment Questionnaires (SAQ) serán actualizadas a lo largo del tercer trimestre de 2024.
Más información en el blog del PCI SSC: Just Published: PCI DSS v4.0.1.