Captura

Con el fin de facilitar el cumplimiento paulatino de PCI DSS v3.1 y la migración desde los controles implementados de PCI DSS v2.0, el PCI SSC optó por permitir la “existencia” de algunos controles como “recomendaciones”, de tal forma que cualquier organización que deba cumplir con el estándar tuviera tiempo de planificar e implementar el control conforme se estipula.

La fecha límite de esos controles es el 30 de junio de 2015. A partir de esta fecha, esos controles “recomendables” pasan a convertirse en “obligatorios“. A continuación se presenta una tabla con los controles relacionados.

RequisitoDescripciónFecha inicio cumplimiento
N/ARetiro del estándar PCI DSS v3.030 de junio de 2015
6.5.10Autenticación y administración de sesión interrumpidas30 de junio de 2015
8.5.1Requisitos adicionales para los proveedores de servicios: Los proveedores de servicios que tengan acceso a las instalaciones del cliente (por ejemplo, para tareas de soporte de los sistemas de POS o de los servidores) deben usar una credencial de autenticación exclusiva (como una contraseña/frase) para cada cliente.30 de junio de 2015
9.9Proteja los dispositivos que capturan datos de tarjetas de pago mediante la interacción física directa con la tarjeta para proporcionar protección contra alteraciones y sustituciones.30 de junio de 2015
11.3Implemente una metodología para las pruebas de penetración que incluya lo siguiente:
• Esté basada en los enfoques de pruebas de penetración aceptados por la industria (por ejemplo, NIST SP800-115).
• Incluya cobertura de todo el perímetro del CDE (entorno de datos del titular de la tarjeta) y de los sistemas críticos.
• Incluya pruebas del entorno interno y externo de la red.
• Incluya pruebas para validar cualquier segmentación y controles de reducción del alcance.
• Defina las pruebas de penetración de la capa de la aplicación para que incluyan, al menos, las vulnerabilidades enumeradas en el Requisito 6.5.
• Defina las pruebas de penetración de la capa de la red para que incluyan los componentes que admiten las funciones de red y los sistemas operativos.
• Incluya la revisión y evaluación de las amenazas y vulnerabilidades ocurridas en los últimos 12 meses.
• Especifique la retención de los resultados de las pruebas de penetración y los resultados de las actividades de corrección.
30 de junio de 2015
12.9Requisitos adicionales para los proveedores de servicios: Los proveedores de servicios aceptan, por escrito y ante los clientes, responsabilizarse de la seguridad de los datos del titular de la tarjeta que ellos poseen, almacenan, procesan o transmiten en nombre del cliente, o en la medida en que puedan afectar la seguridad del entorno de datos del titular de la tarjeta del cliente.30 de junio de 2015

Como siempre, si tienes alguna duda visita el foro o deja tu mensaje al final de este artículo.