El 30 de abril de 2016 se publicó la versión 3.2 del estándar PCI DSS. Esta versión y sus revisiones posteriores incluían una serie de requisitos identificados temporalmente como “buenas prácticas” y se estipularon unas fechas límite a lo largo del año 2018 para su entrada en vigencia como requisitos obligatorios. Esto implica que a partir del día siguiente a la fecha límite, el requisito deberá contar con evidencia verificable de su ejecución.

A continuación se encuentran identificados todos los controles que se convertirán en obligatorios durante el año 2018:

Fecha de entrada en vigenciaRequisito de PCI DSS v3.2Aplicable a:
01 de febrero de 20183.5.1. Mantenga una descripción documentada de la arquitectura criptográfica que incluye:
- Detalles de todos los algoritmos, protocolos y claves utilizados para la protección de los datos del titular de la tarjeta, incluidas la complejidad de la clave y la fecha de caducidad
- Descripción del uso de la clave para cada tecla
- Inventario de un HSM SMS y otros SCD utilizados para la gestión de claves
Proveedores de servicios
01 de febrero de 20186.4.6. Al término de un cambio significativo, deben implementarse todos los requisitos pertinentes de la PCI DSS en todos los sistemas y redes nuevos o modificados, y la documentación actualizada según sea el caso.Comercios y proveedores de servicios
01 de febrero de 20188.3.1. Incorporar la autenticación de múltiples factores para todo acceso que no sea de consola en el CDE para el personal con acceso administrativo.Comercios y proveedores de servicios
01 de febrero de 201810.8. Implementar un proceso para la detección oportuna y la presentación de informes de fallas de los sistemas críticos de control de seguridad, incluido pero no limitado a la falla de:
- Firewalls
- IDS/IPS
- FIM
- Antivirus
- Controles de acceso físicos
- Controles de acceso lógico
- Mecanismos de registro de auditoría
- Controles de segmentación (si se utilizan)
Proveedores de servicios
01 de febrero de 201810.8.1. Responder a las fallas de los controles de seguridad críticos en el momento oportuno. Los procesos para responder en caso de fallas en el control de seguridad son los siguientes:
- Restaurar las funciones de seguridad
- Identificar y documentar la duración (fecha y hora de inicio a fin) de la falla de seguridad
- Identificar y documentar las causas de la falla, incluida la causa raíz, y documentar la remediación requerida para abordar la causa raíz
- Identificar y abordar cualquier problema de seguridad que surja durante la falla del control de seguridad.
- Realizar una evaluación de riesgos para determinar si se requieren más acciones como resultado de la falla de seguridad
- Implementar controles para prevenir que se vuelva a producir la causa de la falla
- Reanudar la supervisión de los controles de seguridad
Proveedores de servicios
01 de febrero de 201811.3.4.1. Si se utiliza la segmentación, confirme el alcance de la PCI DSS al realizar pruebas de penetración en los controles de segmentación al menos cada seis meses, y después de cualquier cambio a los controles/métodos de segmentación.Proveedores de servicios
01 de febrero de 201812.4.1. La gerencia ejecutiva deberá establecer la responsabilidad de la protección de los datos del titular de la tarjeta y un programa de cumplimiento de la PCI DSS para incluir:
- Responsabilidad general de mantener el cumplimiento de la PCI DSS
- Definir un estatuto para el programa de cumplimiento de la PCI DSS y la comunicación a la gerencia ejecutiva
Proveedores de servicios
01 de febrero de 201812.11. Realizar revisiones al menos trimestralmente para confirmar que el personal sigue las políticas de seguridad y los procedimientos operativos. Las revisiones deben cubrir los siguientes procesos:
- Revisiones del registro diario
- Revisiones del conjunto de reglas de firewall
- La aplicación de las normas de configuración a los nuevos sistemas
- Respuesta a las alertas de seguridad
- Procesos de gestión del cambio
Proveedores de servicios
01 de febrero de 201812.11.1. Mantener la documentación del proceso de revisión trimestral para incluir:
- Documentar los resultados de las revisiones
- Revisión y cierre de los resultados por el personal asignado a la responsabilidad del programa de cumplimiento de la PCI DSS
Proveedores de servicios
01 de julio de 2018Todas las entidades deberán haber dejado de usar la SSL/TLS temprana como un control de seguridad, y usar solo las versiones seguras del protocolo.Comercios y proveedores de servicios

Si tienes preguntas, no olvides dejar tu comentario o ingresar al foro.