¿Qué cambios nuevos se avecinan en PCI DSS para este año 2018?

De acuerdo con la información publicada por el PCI SSC en su blog oficial, se esperan cuatro cambios importantes dentro del estándar PCI DSS para lo que resta de este año 2018 :

A partir del 1 de febrero de 2018 entraron en vigencia varios controles de PCI DSS que inicialmente estaban catalogados como buenas prácticas. Esto implica que aquellos comercios y proveedores de servicio afectados ya deberían haber terminado con las tareas de implementación y alineación de los mismos. Más información en el artículo «Prepárate para los requisitos de PCI DSS v3.2 que entran en vigencia en el 2018«.
A partir del 1 de julio de 2018 es obligatorio el uso de versiones seguras del protocolo TLS (1.2 o superiores). Esto implica que cualquier versión del protocolo SSL o versiones 1.0 y 1.1 de TLS dejarán de ser aceptadas como controles de criptografía robusta. Más información en los artículos «Evita que las vulnerabilidades de SSL/TLS afecten tu cumplimiento de PCI DSS con estas recomendaciones» y «5 conceptos claves en el proceso de migración de SSL y versiones anteriores de TLS«.

A mediados de año, cuando todos los controles con fechas futuras hayan entrado en vigencia, el PCI SSC realizará una revisión menor del estándar con el fin de actualizarlo, remover referencias obsoletas a SSL y versiones anteriores de TLS en los controles, retirar el anexo A2, actualizar las referencias de la OWASP Top Ten 2013 para actualizarla con la versión del 2017 y agregar algunas aclaraciones. No se agregarán controles adicionales. Más información en el articulo «¿Cómo afecta la nueva versión del Top Ten de OWASP el cumplimiento de PCI DSS v3.2?«
A finales de año, los comentarios proporcionados por las organizaciones participantes del PCI SSC serán revisados y considerados para la próxima versión de PCI DSS. En PCI Hispano publicamos el artículo «20 controles adicionales para optimizar los niveles de seguridad provistos por PCI DSS«, en donde se enumeran una serie de controles de seguridad que potencialmente podrían ser incluidos dentro del estándar.

Si quieres conocer toda la historia del estándar PCI DSS y del comité de estándares del PCI SSC, el artículo «La línea de tiempo del comité de estándares PCI SSC» contiene todos los hitos desde el año 2004 hasta el día de hoy.

Como siempre, os estaremos informando en cuanto hayan novedades.

David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.

Relacionado

2 Comentarios en respuesta a "¿Qué cambios nuevos se avecinan en PCI DSS para este año 2018?"

Juan José #
Un artículo fantástico para los que anden más perdidos en lo que se viene encima este año. De todas formas, creo recordar que las versiones permitidas de TLS son la 1.1, 1.2 y superiores. Un saludo,

abril 10, 2018 12:44 pm Responder

David Acosta #
Buenas tardes Juan José: Tal como indicas, hasta el 30 de junio de 2018 es aceptable el uso de SSL y versiones previas de TLS (1.1) a través de los planes de migración y mitigación. Pero a partir del 1 de julio es obligatorio el uso de TLS 1.2 o versiones superiores. Encontrarás más información en el documento "Migrating from SSL and Early TLS: A Resource Guide from the PCI Security Standards Council" https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf o en los artículos que referencio arriba.

abril 13, 2018 3:27 pm Responder

¿Qué cambios nuevos se avecinan en PCI DSS para este año 2018?

David Acosta

Relacionado

Compartir esta entrada:

2 Comentarios en respuesta a "¿Qué cambios nuevos se avecinan en PCI DSS para este año 2018?"

Escribe tu comentario (ten paciencia cuando lo publiques, se demora un poco) Cancelar respuesta