La versión 4.0 de PCI DSS fue publicada en marzo de 2022. El PCI Security Standards Council ya está trabajando activamente en la versión 5.0. ¿Qué se sabe de esta nueva versión?

La Ley de Rendimientos Acelerados de Ray Kurzweil nos indica que los avances tecnológicos se desarrollan según una curva exponencial cuya pendiente aumenta cada vez más, lo que implica que la velocidad del cambio tecnológico aumenta respecto al intervalo de tiempo inmediatamente anterior. Algo similar se expone en la Ley de Moore, pero en el contexto de los semiconductores.

Como se puede suponer, el avance tecnológico implica cambios en los riesgos: nuevas amenazas, nuevas vulnerabilidades, atacantes más especializados, etc. Por esta razón, los controles de seguridad implementados en una entidad deben revisarse periódicamente para evitar puntos ciegos derivados de nuevas tecnologías. Como ya se ha discutido en PCI Hispano, el estándar PCI DSS (o cualquier otro estándar de seguridad) no es más que un listado de controles físicos, lógicos y administrativos orientados a la protección de un tipo de dato en particular. Nueva tecnología implica nuevos controles (o controles mejorados) y esto, a su vez, implica una actualización de los estándares que los contienen.

Por esa razón, el Payment Card Industry Security Standards Council (PCI SSC) ya está trabajando en las nuevas versiones de sus estándares, por lo que se espera que 2026 y 2027 sean unos años bastante activos en este sentido.

Potenciales cambios a ser incluidos en PCI DSS v5.0

Como novedad en su operación anual, el PCI SSC publicó su primer reporte de 2025, en el que se detallan las principales actividades realizadas durante ese año, incluyendo la publicación de contenido, estándares y estadísticas generales, entre otras. En ese documento se adelantaron algunas de las acciones que el Council ejecutará a lo largo de estos años, ofreciendo pinceladas sobre el futuro del ecosistema de estándares de medios de pago, temas que ya se habían informado en las Comunity Meetings de 2024 y 2025, incluyendo la reorganización de todos los estándares en siete (7) categorías: Data & Environment, Mobile, Device, P2PE, Key Management, Software y Card.

En el caso particular de PCI DSS, la intención es agrupar este estándar en la categoría Data & Environment, con varias sorpresas:

  • Se tratará de un cambio mayor de versión, por lo que se esperan modificaciones sustanciales en el estándar, no tanto en sus controles sino en su organización y definición de alcance.
  • Se está desarrollando un nuevo estándar que se denominará Environmental Security Standard (ESS).
  • Se está evaluando la posibilidad de integrar PCI DSS con PCI 3DS y, potencialmente, con PCI Token Service Provider (PCI TSP). Hay que recordar que actualmente la parte 1 de PCI 3DS puede homologarse si la entidad cumple con PCI DSS, por lo que muchos de los controles aplicables a entornos PCI DSS también pueden implementarse en entornos PCI 3DS; por ello, tiene todo el sentido integrar PCI 3DS como anexo a PCI DSS, por ejemplo. En cuanto a PCI TSP, orientado a la gestión de tokenización EMV, el entorno donde se almacena el par PAN/token (data vault) también debe cumplir con PCI DSS, por lo que podría ser factible integrar controles para la protección de entornos de tokenización en PCI DSS.
  • Finalmente, si estos estándares se integran, el resultado natural de dicha integración es la creación de un programa común, por lo que el programa de cumplimiento de PCI DSS podría actualizarse, así como las formaciones para asesores QSA e ISAs.

Por otro lado, en cuanto a cambios del propio estándar PCI DSS, se conoce que el foco estará en los siguientes puntos:

  • Alineado con lo descrito anteriormente, se plantea ampliar el alcance de la seguridad de PCI DSS más allá de la protección del PAN.
  • Proveer flexibilidad para aplicar criterios de seguridad basados en el riesgo. Esto ya es algo que el PCI SSC ha intentado en el pasado, con el fin de no obligar a las entidades a adecuar su entorno a una solución de seguridad, sino que sea la solución de seguridad la que se adapte al entorno a proteger con base en el riesgo identificado. Ejemplos de esto los podemos encontrar en los cambios introducidos en PCI DSS v4.0, en el requerimiento 5 relacionado con antimalware.
  • Distinguir entre entornos simples y complejos para facilitar la implementación y la evaluación de controles.
  • Definir el impacto real del uso de soluciones validadas por el PCI SSC en entornos DSS. Esto se viene reclamando desde hace años, sobre todo para aportar valor añadido al uso de estándares como PCI SSS o PCI Secure SLC.
  • Optimizar y modernizar los documentos de validación.

Otros cambios relacionados con mejoras en el criterio de aplicabilidad del enfoque personalizado y los controles compensatorios también pueden ser parte de esta nueva versión.

Se espera que se publique una versión preliminar de PCI DSS v5.0 para recibir comentarios (Request For Comments – RFC) a finales de 2026. Mientras tanto, se publicarán guías de mapeo de controles (control mapping) de PCI DSS con DORA y NIST CSF II.

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Deja un comentario