En Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) Es un conjunto de estándares de seguridad de la información que protegen los datos de las tarjetas de pago de las principales marcas (Visa, MasterCard, Discover Financial Services, JCB y American Express). A medida que la tecnología evoluciona constantemente y las ciberamenazas se vuelven más sofisticadas, las organizaciones deben mantenerse al día con la última versión del PCI DSS. PCI DSS 4.0 es la versión más reciente del estándar, desarrollada por... Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC)Se basa en versiones anteriores e incorpora comentarios y perspectivas de las partes interesadas de la industria, expertos en seguridad y agencias reguladoras.
¿Quién debe cumplir con PCI DSS 4.0?
A medida que los entornos en la nube escalan con la expansión del comercio electrónico, también lo hace la huella de datos confidenciales, especialmente datos confidenciales de titulares de tarjetas, cuentas o autenticación. Si su organización acepta pagos con tarjetas de crédito, débito o digitales, es fundamental prepararse de inmediato para PCI DSS 4.0.
Exploremos el nuevo cambio de imagen y aprendamos todo lo que necesita saber sobre PCI v4.0, la última versión de la PCI DSS.
Fechas clave de cumplimiento
La principal actualización del estándar de seguridad de datos PCI es la primera desde 2018 (versión 3.2.1). El nuevo estándar de seguridad promueve un entorno más seguro para los pagos con tarjetas al tiempo que aborda las amenazas emergentes y permite enfoques únicos para combatir nuevas amenazas.
La fecha límite para conformidad Con la primera fase de PCI DSS 4.0 es 31 de marzo de 2024Esta fase incluye 13 nuevos requisitos que involucran planificación, evaluaciones y asignación de responsabilidades. La segunda fase, compuesta por 51 requisitos altamente técnicos, debe ser implementada por Marzo de 2025.
Cambios de implementación inmediatos
PCI DSS 4.0 introduce cambios y actualizaciones fundamentales para fortalecer las medidas de seguridad y abordar las amenazas emergentes. Los 13 requisitos de la Fase 1 se centran en la creación de un marco de rendición de cuentas en torno a las políticas operativas.
Establecer responsabilidades
Actualmente, 10 de los 13 requisitos (2.1.2, 3.1.2, 4.1.2, 5.1.2, 6.1.2, 7.1.2, 8.1.2, 9.1.2, 10.1.2 y 11.1.2) se refieren a la identificación y asignación de roles y responsabilidades en los equipos de seguridad y TI responsables del cumplimiento de PCI y remediación de incidentes de seguridadEstos requisitos entran en vigor de inmediato para todas las evaluaciones de la versión 4.0 y deben cumplirse antes de la fecha límite del 31 de marzo de 2024.
Al formalizar estas políticas, las organizaciones contarán con documentación sobre los responsables de abordar aspectos específicos de su cumplimiento con PCI. Esto contribuirá a crear una cultura de buenas prácticas de seguridad para su plena implementación en marzo de 2025.
Requisito 12.3.2: Enfoques personalizados
La versión 4.0 introduce la muy solicitada opción de un “enfoque personalizado”, que permite a las organizaciones aprovechar métodos alternativos para cumplir con los requisitos de PCI DSS y alcanzar los resultados deseados.
Esto es particularmente importante para las organizaciones que deben cumplir con otros marcos regulatorios, como GDPR o HIPAA, cuyos requisitos tienden a solaparse. Sin embargo, el requisito 12.3.2 garantiza que cada enfoque personalizado se analice y documente adecuadamente para determinar la eficacia de la implementación de controles específicos.
Requisito 12.5.2: Alcance del PCI DSS
El requisito 12.5.2 exige que las organizaciones definan sus CDE y el alcance de PCI DSS, que deben documentarse y confirmarse al menos una vez cada 12 meses. Esto incluye los CDE, los procesos, las partes interesadas y la tecnología que almacenan, procesan o transmiten datos de autenticación del titular de la tarjeta o datos confidenciales.
Requisito 12.9.2: Aviso para proveedores de servicios
Otro requisito, el 12.9.2, se aplica únicamente a los proveedores de servicios externos (TPSP). Este requisito diferencia las funciones y responsabilidades del TPSP en cuanto a la gestión del CDE del cliente. El TPSP también debe proporcionar el estado de su cumplimiento con PCI DSS y detalles sobre los requisitos de PCI DSS a solicitud del cliente.
Mejores prácticas para PCI DSS 4.0
PCI DSS v4.0 incluye más de 50 requisitos nuevos. Es importante comprender qué requisitos se aplican a su empresa y qué se necesita para cumplir con la normativa. Para obtener la lista completa de requisitos, incluyendo los vigentes actualmente y los que entrarán en vigor el 31 de marzo de 2025, se recomienda consultar la resumen de cambios.
El consejo PCI puso énfasis en varios estándares nuevos, que incluyen la documentación de requisitos de responsabilidad, la protección de firewalls de comercio electrónico, la protección de páginas de pago, la rotación de contraseñas, el cumplimiento de los requisitos de riesgo de PCI, el escaneo de vulnerabilidades, el uso de autenticación multifactor, la automatización de alertas de información de seguridad y gestión de eventos (SIEM), la gobernanza de datos y la respuesta a incidentes.
Cómo BigID aborda PCI DSS 4.0 para proteger los datos de pago con tarjeta
PCI DSS 4.0 representa un hito importante en el esfuerzo continuo por proteger los datos de las tarjetas de pago y combatir las ciberamenazas. Al comprender los cambios y actualizaciones fundamentales introducidos en PCI DSS 4.0, las organizaciones pueden fortalecer sus defensas de seguridad y garantizar el cumplimiento de los estándares más recientes del sector.
BigID Puede ayudarle a cumplir con los requisitos de PCI DSS 4.0. El cumplimiento de PCI DSS comienza con el establecimiento de una base sólida para el descubrimiento y la clasificación de datos de cuentas, que incluye al titular de la tarjeta y los datos de autenticación confidenciales. Además, BigID es compatible con la mayoría de los tipos de fuentes de datos incluidos en el marco PCI DSS.
Con BigID, las organizaciones pueden:
- Descubrir y clasificar todo tipo de datos sensibles y de cuentas de forma precisa y a gran escala.
- Identificar automáticamente y obtener un contexto granular sobre datos confidenciales.
- Personalizar clasificadores para identificar con precisión los datos relacionados con el pago exclusivos de su organización.
- Conéctese a más de 300 tipos de fuentes de datos en la nube y en las instalaciones: estructuradas, no estructuradas o semiestructuradas.
- Establecer políticas en torno a tipos de datos de cuentas específicos que requieren cifrado, enmascaramiento, retención, minimización y más.
- Obtenga información sobre los problemas de acceso a los datos en torno a datos de pago críticos, confidenciales o de alto riesgo en todos sus entornos.
- Identificar, señalar, evaluar, y priorizar el riesgo de acceso a archivos sobre datos confidenciales relacionados con los pagos.
- Asignar las identidades de los titulares de tarjetas a sus datos personales y confidenciales y mantener una visión central de la exposición a infracciones y la respuesta a incidentes.
- Mitigue el riesgo con flujos de trabajo de remediación, delegando completamente en los propietarios de los datos la tarea de reducir la superficie de ataque y proteger los datos del titular de la tarjeta.
Comience a cumplir con el estándar PCI DSS y mitigue el riesgo de los datos hoy mismo. Obtenga una demostración 1:1 con nuestros expertos en seguridad para ver BigID en acción.
Autor
