Requisitos de la versión 4.0 de la norma PCI DSS
La Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es una norma de seguridad de la información que establece un conjunto básico de requisitos técnicos y operativos destinados a proteger los datos de pago y reducir el fraude con tarjetas de crédito. La norma PCI DSS está dirigida a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas o datos sensibles de autenticación.
La nueva versión del estándar se publicó el 31 de marzo de 2022. Los cambios con respecto a la versión anterior 3.2.1 incluyen:
- Ampliación del Requisito 8 para implantar autenticación multifactor (MFA) para todo acceso al entorno de datos de los titulares de tarjetas.
- Actualización de la terminología de cortafuegos a controles de seguridad de red para abarcar un conjunto más amplio de tecnologías utilizadas para cumplir los objetivos de seguridad que tradicionalmente se alcanzaban mediante cortafuegos.
- Mayor flexibilidad para que las organizaciones demuestren cómo utilizan distintos métodos para alcanzar los objetivos de seguridad.
- Incorporación de análisis de riesgos específicos para permitir que las entidades definan con flexibilidad la frecuencia con la que llevan a cabo determinadas actividades, según sus necesidades operativas y su exposición al riesgo.
Los detalles sobre las actualizaciones pueden encontrarse en el documento «PCI DSS v4.0 Summary of Changes» disponible en el sitio web de la PCI SSC.
¿Qué es la norma PCI DSS?
La Norma de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) se desarrolló para fomentar y reforzar la seguridad de los datos de cuentas de tarjetas de pago y facilitar la adopción generalizada de medidas coherentes de seguridad de datos sensibles a escala global. La PCI DSS establece un conjunto básico de requisitos técnicos y operativos diseñados para proteger los datos de cuentas y formar parte de una política global de seguridad de la información.
¿Quién debe cumplir la norma PCI DSS?
El cumplimiento de la norma PCI DSS es obligatorio para las entidades financieras, los procesadores de pagos en línea, los comercios que aceptan tarjetas de pago y cualquier organización que procese transacciones con tarjetas de pago, almacene o acceda a información de tarjetas de pago, así como para todos los proveedores de servicios que posibilitan la actividad empresarial en cualquier parte del ecosistema de procesamiento de tarjetas.
¿Cuándo entró en vigor la versión 4.0 de la norma PCI DSS?
La norma PCI DSS v3.2.1 siguió vigente durante dos años después de la publicación de la versión 4.0. Esto dio tiempo a las organizaciones para familiarizarse con la nueva versión y planificar y aplicar los cambios necesarios. El calendario de aplicación se muestra en la siguiente imagen.
Figura 1: Calendario de aplicación de la versión 4.0 de la norma PCI DSS Fuente: PCI SSC
¿Cuáles son los obstáculos habituales asociados a la norma PCI DSS?
- El incumplimiento de los requisitos de la norma PCI DSS puede suponer la imposición de multas, el aumento de las tasas o incluso el cese de su capacidad para procesar transacciones con tarjetas de pago.
- No se puede considerar el cumplimiento de la PCI DSS de forma aislada; las organizaciones están sujetas a múltiples mandatos de seguridad y leyes o reglamentos de protección de datos y privacidad. No obstante, los proyectos de cumplimiento de la PCI pueden verse fácilmente relegados a un segundo plano por iniciativas de seguridad empresarial más extensas.
- Las orientaciones y recomendaciones vinculadas a los requisitos de la norma PCI DSS comprenden prácticas comunes que probablemente ya estén en vigor. Sin embargo, algunos aspectos, en concreto los relacionados con el cifrado y la autenticación multifactor, pueden resultar nuevos para la organización y su implantación puede resultar disruptiva, afectando negativamente a la eficacia operativa si no se concibe correctamente.
- Es muy fácil acabar con un enfoque fragmentado de la seguridad basado en múltiples soluciones propietarias de distintos proveedores y en tecnologías inadecuadas que resultan caras, complejas de operar y que generan vulnerabilidades adicionales.
- Existen oportunidades para reducir el ámbito de aplicación de las obligaciones de cumplimiento de la norma PCI DSS y, por tanto, disminuir los costes y el impacto. Sin embargo, las organizaciones pueden malgastar tiempo y dinero si no actúan con la diligencia necesaria para garantizar que los nuevos sistemas y procesos serán acreditados como conformes con la norma PCI DSS.
¿Cuáles son las sanciones por incumplimiento de la norma PCI DSS?
Las sanciones por incumplimiento de la norma PCI DSS pueden incluir multas de 5000 a 100 000 dólares mensuales. Las sanciones también pueden consistir en el aumento de los requisitos de auditoría y el posible cese de la actividad con tarjetas de crédito por parte de un banco comercial o una marca de tarjetas de crédito.
Cumplimiento de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) versión 4.0
Obtenga información sobre el cumplimiento de la versión 4.0 de la norma PCI DSS, la última actualización de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago, y sobre cómo Thales puede ayudar a proteger los datos de los titulares de tarjetas en entornos híbridos de TI.
Cómo Thales puede ayudar a cumplir la norma PCI DSS
Basándose en décadas de experiencia ayudando a bancos y entidades financieras a cumplir los requisitos normativos del sector, Thales ofrece productos y servicios integrados que permiten a su organización proteger los datos de los titulares de tarjetas almacenados, cifrarlos para su transferencia, restringir el acceso según el principio de necesidad de conocer y proteger las aplicaciones que gestionan transacciones de pago. Además, Thales colabora estrechamente con sus socios para ofrecer soluciones integrales que puedan reducir el alcance de la carga que supone el cumplimiento de la norma PCI DSS.
Abordar los requisitos de cumplimiento normativo de la norma PCI DSS 4.0
Cómo puede ayudar Thales:
- Descubrir, analizar y priorizar las vulnerabilidades.
- Entornos multiusuario y separación de funciones.
- Acceso administrativo cifrado sin consola.
Cómo puede ayudar Thales:
- Descubrir y clasificar los datos de los titulares de tarjetas.
- Cifrar y tokenizar los datos de los titulares de tarjetas.
- Proteger las claves de cifrado en dispositivos con certificado FIPS 140-2 Nivel 3.
- Gestionar el ciclo de vida de las claves y los secretos.
Cómo puede ayudar Thales:
- Tokenización y cifrado de los datos antes de su transmisión.
- Cifrado de alta velocidad de los datos en tránsito.
Cómo puede ayudar Thales:
- Inspeccionar todo el tráfico, detectar y prevenir los ataques basados en la web con WAF.
- Permitir solo los scripts autorizados en la página de pago.
- Descubrir, analizar y priorizar las vulnerabilidades.
- Ofrecer una raíz de confianza FIPS 140-2 de nivel 3 para credenciales y claves.
Soluciones:
Seguridad de las aplicaciones
Cortafuegos para aplicaciones web (WAF)
Protección del lado del cliente
Seguridad de los datos
Cómo puede ayudar Thales:
- Impedir el acceso no autorizado a los datos y secretos protegidos de los titulares de tarjetas.
- Separación de funciones y principio de privilegios de acceso mínimos.
- Gestionar de forma centralizada las identidades de los usuarios y las políticas de autenticación basadas en riesgos para los entornos de datos de titulares de tarjetas (CDE, por sus siglas en inglés).
Soluciones:
Seguridad de los datos
Data Security Fabric (arquitectura de seguridad de datos)
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Garantizar que a cada usuario se le asignen unas credenciales únicas.
- La gama más amplia de métodos de autenticación y factores de forma.
- Políticas gestionadas de forma centralizada desde una única infraestructura de autenticación «back-end», desplegadas en la nube o en entornos locales.
Cómo puede ayudar Thales:
- Cifrado y tokenización de datos con destrucción de claves.
- Tarjetas inteligentes para controlar los accesos físicos.
Soluciones:
Seguridad de los datos
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Registros completos de auditoría de los eventos de acceso a archivos, claves y secretos enviados al SIEM.
- Verificación continua de la actividad de auditoría de forma ininterrumpida (24/7/365).
- Detección de anomalías mediante aprendizaje automático para identificar comportamientos sospechosos.
Soluciones:
Seguridad de los datos
Data Security Fabric (arquitectura de seguridad de datos)
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Evitar cambios no autorizados en las páginas de pago permitiendo solo scripts autorizados.
Cómo puede ayudar Thales:
- Localizar datos regulados estructurados y no estructurados en la nube, en entornos de big data y en repositorios de datos tradicionales.
- Automatizar la remediación de datos si se detecta un PAN vulnerable fuera del entorno de datos de titulares de tarjeta.
Recursos relacionados
Informe de la solución
Prepárese para la norma PCI DSS 4.0 con la plataforma de identidades OneWelcome de Thales
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.