Debido a la complejidad en su implementación, el estándar PCI DSS v4 estableció un periodo de gracia para la implementación de ciertos controles de seguridad. Ese periodo expiró el 31 de marzo de 2025. ¿Qué sigue después de esta fecha?
El 31 de marzo de 2025 fue la fecha establecida por el PCI SCC para que la totalidad de los controles del estándar PCI DSS entraran en vigor. Esta fecha fue anunciada en el año 2021, por lo cual se espera que las entidades afectadas hayan tenido suficiente tiempo para proceder con la correcta implementación de todos estos controles.

Fechas clave en el cumplimiento de PCI DSS v4 – Fuente: https://blog.pcisecuritystandards.org
Como soporte a esta tarea, en PCI Hispano publicamos una hoja de cálculo que contenÃa el listado de todos los controles futuros , que se puede descargar aquÃ.

A partir del 1 de abril de 2025, los siguientes cambios entrarán en vigor:
- La totalidad de controles del estándar PCI DSS estará en vigor. Esto quiere decir que las entidades deberán tener correctamente implementados todos los controles, incluyendo los que estaban catalogados como «controles futuros» (future-dated controls).
- Todos los controles del estándar serán considerados en la próxima iteración de la evaluación de cumplimiento de PCI DSS de la entidad.
- Al margen de la fecha de evaluación anual de cumplimiento de PCI DSS de la entidad, los «controles futuros» deberán estar implementados. No hay que esperar a la evaluación de cumplimiento para tener todo listo, la entidad debe garantizar que a partir del 1 de abril de 2025 los «controles futuros» estarán implementados y su evidencia correspondiente deberá estar disponible para revisión.
- La entrada en vigor de los controles futuros no implica que sea necesario que un asesor QSA los revise de forma extemporánea. Vinculado con el punto anterior, la entrada en vigor de este subconjunto de controles no implica que sea necesario realizar una evaluación adicional para validar su estado. El asesor QSA los revisará como parte de sus tareas en la fecha de evaluación estipulada. Eso sÃ, se comprobará que esos controles estén activos y completamente funcionales desde el 1 de abril de 2025.
- La revisión de estos controles implicará más tiempo y mayor esfuerzo por parte de los asesores QSA, por lo que es posible que tanto los costes como la duración de las evaluaciones de cumplimiento se incrementen.
Por otro lado, es muy probable que el PCI SSC publique un cambio menor de versión del estándar PCI DSS para remover las referencias a los «controles futuros» y a otros controles que quedaron obsoletos a partir de esa fecha, como los controles 6.4.1 (WAF), 8.3.10 (contraseñas en proveedores de servicio) y 10.7.1 (gestión de fallas en sistemas de control de seguridad).

Os mantendremos informados. No olvidéis suscribiros a nuestra newsletter para no perderte ninguna actualización.