El PCI SSC estableció el 31 de marzo de 2024 como fecha límite para la retirada de la versión 3.2.1 de PCI DSS. A partir del 1 de abril de 2024 la única versión activa y oficial de PCI DSS será la 4.0. Pero, ¿qué pasa evaluaciones de cumplimiento realizadas antes y después de esas fechas?

Cuando el estándar PCI DSS v4.0 fue publicado, el Payment Card Industry Security Standards Council (PCI SSC) definió un periodo de transición de 24 meses (2 años) entre estas dos versiones, con el fin de permitirle a las entidades analizar e implementar los controles nuevos y actualizados. De esta manera, se establecieron las siguientes fechas:

• Publicación del estándar PCI DSS v4.0: 31 de marzo de 2022
• Retirada del estándar PCI DSS v3.2.1: 31 de marzo de 2024
• Entrada en vigor de los controles futuros de PCI DSS v4.0: 31 de marzo de 2025

Teniendo en cuenta estas fechas, es importante aclarar lo que sucederá con las evaluaciones de cumplimiento realizadas antes de la retirada de PCI DSS v3.2.1:

¿Qué pasa si mi entidad está realizando una evaluación de cumplimiento y se publica una nueva versión del estándar?

En el caso de PCI DSS v4.0, el PCI SSC estableció un periodo de gracia de 24 meses (desde el 31 de marzo de 2022 hasta el 31 de marzo de 2024) para la implementación de los nuevos controles. Durante ese periodo se permite la realización de evaluaciones utilizando cualquiera de las dos versiones: 3.2.1 o 4.0.

Ejemplo: Una entidad se quiere evaluar en PCI DSS antes del 31 de marzo de 2024. En este caso, se puede escoger entre realizar la evaluación empleando la versión 3.2.1 o la versión 4.0 de este estándar.

Más información: FAQ 1266 – If an entity is in the middle of a PCI DSS assessment when a new version of the standard is released – should the assessment be started again using the new version? y FAQ 1328 – Which version of PCI DSS should an entity use?

¿Qué pasa con la validez de mi evaluación de PCI DSS si el estándar cambia de versión?

En el caso de que ocurra un cambio de versión del estándar, cualquier reporte de cumplimiento (Report on Compliance / Attestation of Compliance) de una evaluación realizada ANTES de la fecha de entrada en vigor de la nueva versión seguirá siendo válido durante el periodo estipulado por las marcas de pago (12 meses para PCI DSS).

Ejemplo: Si una evaluación de cumplimiento de PCI DSS se realiza empleando la versión 3.2.1 y la fecha de los reportes finales (RoC/AoC) es el 30 de marzo de 2024 (un día antes de la entrada en vigor de PCI DSS v4.0 y todavía dentro del periodo de solapamiento de ambas versiones), dichos reportes seguirán siendo válidos hasta el 30 de marzo de 2025 al margen de que la versión del estándar haya cambiado.

Más información: FAQ 1565 – Does an entity’s PCI DSS assessment result expire when the standard against which the entity was assessed is retired?

Nota adicional: Mastercard anunció en su Q3 2023 PCI Quarterly Newsletter que otorgará un periodo de gracia adicional hasta el 30 de junio de 2024 para aceptar validaciones de cumplimiento realizadas en PCI DSS v3.2.1 siempre y cuando dichas validaciones hayan sido finalizadas satisfactoriamente hasta el día 31 de marzo de 2024. Este periodo de gracia se establece para facilitar procesos de Quality Assurance (QA) y otros procesos de cierre.

¿Qué pasa si una evaluación realizada con PCI DSS v3.2.1 no se completa totalmente antes del 31 de marzo de 2024?

En este tipo de casos, la entidad afectada deberá ponerse en contacto con las marcas de pago para obtener instrucciones adicionales.

Más información: FAQ 1563 – What should an entity do if its PCI DSS v3.2.1 assessment will not be complete prior to that standard’s retirement date of 31 March 2024?

¿Qué pasa con los controles futuros durante una evaluación de cumplimiento de PCI DSS v4.0?

PCI DSS 4.0 incluye una serie de controles específicos que, debido a su complejidad, pueden requerir de más tiempo para su implementación. Estos controles se denominan «controles futuros» (future-dated controls) y están explícitamente identificados como tales en el estándar con la siguiente nota de aplicabilidad, en donde se establece que dichos controles serán tratados como «mejores prácticas» hasta el 31 de marzo de 2025:

This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.

Durante una evaluación de cumplimiento de PCI DSS v4.0 realizada antes del 31 de marzo de 2025, la entidad puede escoger si quiere incluir el resultado de ese control o no en el Report on Compliance. En el caso en el que el cumplimiento con un control futuro dependa de un tercero, aplica el mismo criterio.

Sin embargo, a partir del 31 de marzo de 2025 estos controles serán evaluados completamente al margen de si su implementación depende de la entidad o de un tercero.

Más información: FAQ 1564 – How does an entity report the results of a PCI DSS assessment for new requirements that are noted in PCI DSS as best practices until a future date?