PCI DSS v4.0: un año después y dos años de cumplimiento
Un año desde la introducción de PCI DSS v4.0 y dos años más cerca de la fecha límite de cumplimiento, ¿cómo se ha adoptado esta nueva versión y qué significa para la seguridad y el cumplimiento? Dan Raywood analiza los nuevos requisitos.
A finales de marzo de 2022 se introdujo una nueva versión del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) que hizo algunos intentos de mantenerse al día con las técnicas modernas de ciberataque y, en última instancia, evitar su éxito.
En sustitución de la versión 3.2.1, la versión 4.0 se lanzó el 31 de marzo de 2022 y la fecha límite de cumplimiento es el 31 de marzo de 2025. Mientras tanto, la versión 3.2.1 se retiró el 31 de marzo de 2024, por lo que una empresa aún puede ser auditada con esa versión hasta que fecha.
Descrito como "más receptivo a la naturaleza dinámica de los pagos y el entorno de amenazas" por el PCI Security Standards Council (SSC), la intención era "reforzar los principios básicos de seguridad y al mismo tiempo proporcionar más flexibilidad para permitir mejores implementaciones de diversas tecnologías".
En última instancia, los cuatro objetivos principales eran: continuar satisfaciendo las necesidades de seguridad de la industria de pagos, promover la seguridad como un proceso continuo, agregar flexibilidad para diferentes metodologías y mejorar los métodos de validación.
De hecho, la seguridad fue fundamental para su desarrollo, ya que entre los nuevos requisitos se encontraban requisitos ampliados de autenticación multifactor, requisitos de contraseña actualizados y nuevos requisitos de capacitación en phishing.
Un año después del lanzamiento de este nuevo estándar, ¿qué tan bien recibido ha sido el nuevo estándar? Un podcast lo describió como una evolución significativa, ya que el estándar había sido relativamente estático durante diez años, y el último cambio menor se produjo hace cinco años. "Simultáneamente a ese cambio, el mundo y el mundo de la ciberseguridad cambiaron, y [especialmente] con el paso a la nube".
Jason Wallis, consultor principal y QSA de One Compliance Cyber, admitió que el cambio de 3.2.1 a 4.0 era significativo y “sería un poco oneroso” para algunas empresas, particularmente en la actualización de políticas, procedimientos y procesos. Aún así, en realidad, no hay mucho que una empresa deba hacer.
"Se han agregado nuevos requisitos porque PCI SSC ha tenido en cuenta las amenazas actuales que han aparecido", afirma. “Cada día se descubren nuevos ataques en los que los piratas informáticos ingresan a las empresas y, a medida que esas amenazas aumentan y surgen nuevas amenazas, los estándares para proteger a las empresas deberían avanzar con las nuevas amenazas”.
Una amenaza particular es el robo de tarjetas. Wallis se refiere al incidente de British Airways de 2018, que afectó a 380,000 clientes, y afirma que esto se ha abordado en nuevos requisitos. Esto ahora significa que la empresa debe saber con precisión qué scripts se muestran en los navegadores de sus clientes y, en algunos casos, debe agregar tecnología de detección de cambios que les alertará sobre cualquier cambio en cualquier configuración dentro de su página de pago.
Wallis afirma que el nuevo requisito ha surgido tras recibir comentarios sobre nuevas amenazas y que este tipo de ataque Man in the Middle a menudo se habilita mediante credenciales de contraseña débiles o control de acceso, y "puede pasar desapercibido y podría continuar durante muchos, muchos meses". dice.
“A veces, el comerciante ni siquiera lo detecta por sí mismo, y no es hasta que el banco adquirente les informa 'tenemos muchos clientes que dicen que han sido violados o que les han robado los datos de su tarjeta'. " Dice que observar activamente qué scripts se están ejecutando en una página de pago en un momento dado o usar algún software de detección de cambios debería reducir el riesgo de que alguien obtenga el acceso.
"En primer lugar, se aumentan los requisitos de control de acceso para que les resulte más difícil conseguirlo, y luego, si logran entrar, hay un requisito adicional que hace que sea más probable que se detecte antes".
Para la introducción de entornos híbridos y de nube en las prácticas generales de TI, especialmente con la introducción de AWS, Azure y Google Cloud, está la consideración de su cumplimiento, así como el suyo propio. Wallis dijo que existen niveles de cumplimiento dentro de esas plataformas y que Google Cloud cumplirá con algunos requisitos en su nombre, mientras que otros se comparten y, para otros, el comerciante es responsable de ellos.
Simon Turner, gerente senior de ISSCA Consultancy Services e ISA en BT, dice que el factor de la nube es una de las áreas de enfoque importantes de la versión 4.0, ya que "la versión 3 fue terrible para el mapeo a la nube y como" los QSA dependen de la experiencia técnica, la versión 4.0 definitivamente está orientado hacia las tecnologías de la nube ahora”.
¿Ha sido algo positivo la introducción de la versión 4.0? Turner dice en términos de beneficio para la industria; entonces definitivamente vale la pena. “En términos de QSA y profesionales de seguridad, entonces es un paso en la dirección correcta: algunos profesionales de seguridad pueden decir que no va lo suficientemente lejos, pero lo que la gente tiene que entender es que la empresa necesita operar y debe aceptar pagos en orden de operar”.
Para aquellas empresas que sólo necesitan completar cuestionarios de autoevaluación, es probable que se reduzcan los requisitos de asistencia adicional para lograr el cumplimiento. Sin embargo, se espera que haya una mayor demanda de QSA por parte de aquellas empresas de nivel uno que procesan millones de transacciones.
Turner dice que algunas empresas cumplen con PCI DSS porque "es una cuestión contractual, mientras que algunas entidades más grandes están 100% comprometidas con la protección de la marca". Ahí es donde existe la necesidad de un cumplimiento constante, y garantizar que se ajuste a la norma ISO 27001 es un paso vital en esa dirección para garantizar que se están haciendo las cosas correctamente.
Si bien ambos estándares se centran en controles técnicos y organizativos, PCI DSS le indica lo que espera ver en términos inequívocos. Por el contrario, ISO 27001 permite a las organizaciones determinar cómo será el comando relevante para el apetito por el riesgo.
Hay una clara indicación de que las medidas de seguridad son particularmente cruciales para esta nueva versión y que el SSC está considerando futuros ataques y la mejor manera de defenderse contra ellos. ¿Esto representa un paso para que la seguridad permita el cumplimiento? Puede ser un paso adelante, ya que cumplir estos requisitos implicará algunos niveles de seguridad.
Descubra su ventaja de cumplimiento hoy
Si desea comenzar su viaje hacia el cumplimiento de PCI DSS, podemos ayudarlo.
