Comienza la cuenta regresiva: pasos para adoptar PCI-DSS v4.0 para 2024- ISMS.online

Comienza la cuenta atrás: pasos para adoptar PCI-DSS v4.0 para 2024

Por John Leyden • 26 October 2023

Los próximos cambios en el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) impondrán requisitos de seguridad más estrictos a cualquier empresa que maneje datos de titulares de tarjetas.

PCI DSS El cumplimiento es obligatorio para todos los comerciantes que aceptan pagos con tarjeta de crédito. Todos los comerciantes deben cumplir niveles mínimos de seguridad cuando almacenan, procesan y transmiten datos de titulares de tarjetas. Las organizaciones que manejan un mayor volumen de transacciones están sujetas a requisitos más estrictos, incluido el requisito de auditorías de seguridad externas.

El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) administra el estándar, y las principales marcas de tarjetas de crédito, incluidas Visa y Mastercard, exigen su uso.

A revisión significativa del estándar PCI-DSS v4, tiene como objetivo abordar las amenazas emergentes y las cambiantes necesidades de seguridad de la industria de pagos. El estándar proporciona una base de requisitos técnicos y operativos que están diseñados colectivamente para proteger los datos de la cuenta.

PCI-DSS v4 está por llegar

PCI DSS v4.0 consta de 12 requisitos organizados en seis categorías, que incluyen:

Mayor enfoque en la seguridad como un proceso continuo
Más flexibilidad en cómo las organizaciones pueden alcanzar sus objetivos de seguridad
Nuevos requisitos para los proveedores de servicios, incluido el uso de autenticación multifactor y la implementación de una arquitectura de confianza cero.
Requisitos revisados para el desarrollo de software, incluidas prácticas de codificación segura y el uso de herramientas automatizadas para escaneo de vulnerabilidades y pruebas de penetración.
Reglas más estrictas para la gestión de contraseñas, incluido el uso de frases de contraseña y la prohibición de ciertos tipos de contraseñas.
Fomentar un cifrado más sistemático y eficaz, incluido el apoyo a la introducción de la criptografía cuántica segura.

Los 12 controles dentro de PCI DSS 4.0 son principalmente similares a la versión 3.2.1. PCI DSS v3.2.1 se está depreciando porque no ha logrado seguir el ritmo tanto de los cambios en la industria como de las tácticas de los ciberdelincuentes.

Si bien las versiones anteriores del marco eran prescriptivas (implementar firewalls, aplicar controles antivirus, etc.), PCI DSS 4.0 está orientada a respaldar esfuerzos más integrales por parte de las organizaciones para mejorar su madurez de seguridad.

Aunque algunos de los cambios son evolutivos (como cambiar el requisito de software antivirus por una solución antimalware o cambiar los requisitos de red para reflejar la diferencia entre las arquitecturas de red física y de nube), otros son más sustanciales. Por ejemplo, las organizaciones deben implementar autenticación multifactor para acceder al entorno de datos de los titulares de tarjetas.

Reconociendo la creciente amenaza de ataques a la cadena de suministro, a los comerciantes de comercio electrónico también se les pedirá que mantengan un inventario de software, incluidas bibliotecas y componentes. Además, el marco requiere protección contra ataques de skimming en el comercio electrónico mediante la gestión y detección activa de cambios en JavaScript en la página de pago.

PCI-DSS v4 también hace hincapié en educar a los empleados sobre los riesgos de seguridad y las mejores prácticas.

Luke Dash, director ejecutivo de ISMS.online, comentó: “El cumplimiento de PCI no es sólo una casilla que hay que marcar; es un compromiso con sus clientes: una promesa de seguridad, transparencia y relaciones comerciales duraderas”.

Joseph Carson, científico jefe de seguridad y CISO asesor de Delina, agregó: “PCI-DSS v4 ha elevado el listón y Estándares para la ciberseguridad en la industria de tarjetas de pago., ya no es solo una casilla de verificación, sino un programa continuo de ciberseguridad.

Carson continuó: “Los controles estrictos relacionados con la seguridad del acceso, incluida la autenticación multifactor, la seguridad del acceso privilegiado, la seguridad de las contraseñas y los estándares mejorados para el phishing, implican que la próxima auditoría de PCI será más grande que cualquier auditoría anterior. Probablemente se necesitará mucha más preparación y recursos para garantizar que se cumplan los requisitos”.

Fecha límite de cumplimiento de PCI-DSS v4

Las organizaciones tienen hasta el 31 de marzo de 2024 para transición de PCI DSS v3.2.1 a v4.0 – con un plazo de 18 meses para lograr el pleno cumplimiento en marzo de 2025.

As se informó anteriormente, la nueva versión del estándar pone mayor énfasis en proteger las aplicaciones de pago de comercio electrónico, proteger contra ataques estilo Magecart e implementar prácticas de codificación segura.

El objetivo del marco revisado es salvaguardar las transacciones y generar confianza.

John Elliott, asesor de seguridad del proveedor de herramientas de seguridad Jscrambler, dijo: “El principal desafío será implementar los 51 nuevos requisitos que entrarán en vigencia en abril de 2025. Algunos de ellos pueden requerir un cambio en los procesos comerciales y requerirán la adquisición de nueva tecnología o soluciones.

“Algunos, como MFA [autenticación multifactor] para todos los accesos, es posible que ya los haya implementado como parte de sus actualizaciones de seguridad BAU [negocios habituales], pero otros, como los requisitos específicos para detener los ataques de skimming en el comercio electrónico, tardarán tiempo y tecnología para satisfacer”, agregó Elliott.

Richard Orange, vicepresidente de Exabeam para EMEA, añadió: “El estándar actualizado enfatiza la segmentación efectiva de la red. Alienta a las empresas a implementar medidas de aislamiento para evitar el compromiso de datos confidenciales y tener un enfoque de confianza cero para la seguridad de la red. Las empresas deben seguir pautas de codificación segura, realizar revisiones periódicas del código y escaneos de vulnerabilidades y garantizar una configuración segura de las aplicaciones”.

Gestión de proyectos de cumplimiento de PCI

La preparación proactiva de PCI-DSS v4 permitirá a las empresas tener suficiente tiempo para resolver posibles inconvenientes, evitando la necesidad de costosas soluciones de emergencia de última hora.

Dash de ISMS.online comentó: "La preparación temprana de PCI-DSS v4 permite una implementación escalonada, distribuyendo los costos y reduciendo las interrupciones operativas".

Orange de Exabeam comentó: “Las pequeñas empresas pueden tener dificultades para cumplir con los requisitos más estrictos de PCI-DSS v4. El mayor enfoque en el cifrado, la segmentación de redes y la autenticación multifactor (MFA) puede requerir inversiones adicionales en recursos y tecnología, lo que podría sobrecargar los presupuestos, especialmente para las empresas que ya han tenido que apretarse el cinturón desde la pandemia.

“Por el contrario, las empresas más grandes con medidas de seguridad sólidas pueden tener más facilidad para adaptarse a los nuevos cambios”, añadió.

A pesar de estos desafíos, "el cumplimiento de PCI-DSS v4 puede mejorar la postura general de seguridad y reducir el riesgo de violaciones de datos, lo que genera pérdidas financieras, daños a la reputación y responsabilidades legales", concluyó Orange de Exabeam.

La implementación del estándar también puede mejorar la confianza del cliente, demostrando un compromiso con la protección de la información confidencial de los titulares de tarjetas.

Donnie MacColl, director senior de soporte técnico y DPO de Fortra, un proveedor de ciberseguridad, explicó que los cambios que vendrán con PCI DSS v4 no afectarán a todas las empresas de la misma manera.

"Hay cuatro niveles distintos de cumplimiento requeridos por organizaciones individuales, que se basan en el volumen de transacciones durante un período de 12 meses", dijo MacColl a ISMS.online.

Por ejemplo, las organizaciones con niveles de cumplimiento más bajos (niveles 2 a 4) no necesitan una auditoría externa, pero pueden completar un cuestionario de autoevaluación. Por el contrario, si una empresa procesa más de seis millones de transacciones con tarjeta al año, debe demostrar un cumplimiento de nivel 1, un proceso que implica una auditoría externa realizada por un asesor de seguridad calificado.

MacColl concluyó: “Independientemente del tamaño de la organización, la transición efectiva a PCI DSS 4.0 requiere un enfoque que tenga en cuenta los cambios técnicos y culturales. Este no es un tipo de esfuerzo único. Requerirá un enfoque gradual a lo largo del tiempo”.

Juan Leyden

John Leyden ha escrito sobre redes informáticas y ciberseguridad durante más de 20 años. Antes de la llegada de Internet, trabajó como reportero de crímenes en un periódico local en Manchester. John tiene una licenciatura en ingeniería electrónica de la Universidad de la City de Londres.

Lea más de John Leyden

Privacidad de datos 22 de septiembre de 2024

Se insta a las empresas a seguir las regulaciones de IA de "rápida evolución"

La Inteligencia Artificial (IA) está transformando el sector de las tecnologías de la información a un ritmo vertiginoso. Ha transformado las aplicaciones, incluyendo la gestión de datos...

Juan Leyden

La seguridad cibernética 20 de junio de 2024

Por qué los proveedores pueden tener dificultades para mantener el cartel de impulso "seguro por diseño"

Por qué los proveedores pueden tener dificultades para mantener el impulso de la “seguridad por diseño”

Numerosos proveedores de tecnología se han adherido al compromiso de Seguridad por Diseño, respaldado por el gobierno estadounidense. Pero, ¿marcará este compromiso una ruptura con el pasado?

Juan Leyden

La seguridad cibernética 28 May 2024

decodificando la nueva guía del ncsc para el banner scada alojado en la nube

Decodificando la nueva guía del NCSC para SCADA alojado en la nube

Los sistemas de tecnología operativa (OT) monitorean y controlan automáticamente los procesos y equipos que operan desde plantas de energía hasta hospitales inteligentes...

Juan Leyden