PCI
Hispano es un proyecto cooperativo en idioma español entre profesionales
de América y Europa para compartir conocimiento y experiencias en el proceso de
implementación y auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
·
Inicio
·
El PCI SSC publica la versión 3.2.1 de PCI DSS, define fechas de
transición y anuncia cambios en los SAQ en junio de 2018
El PCI SSC publica la versión 3.2.1 de PCI DSS,
define fechas de transición y anuncia cambios en los SAQ en junio de 2018
El PCI SSC ha
publicado el 17 de mayo de 2018 la nueva versión 3.2.1 del estándar PCI DSS,
tal y como lo habían anunciado días atrás.
Dentro de los cambios entre la versión 3.2 y la versión 3.2.1 se
encuentran:
·
Se corrigieron erratas menores y errores generales de ortografía.
·
Se remueven las referencias al Anexo A2 en los controles 2.2.3, 2.3 y
4.1.
·
El Anexo A2 solamente permitirá el uso de SSL y versiones tempranas de
TLS en entornos de punto de venta / punto de interacción (POS POI) que no sean
susceptibles de ser afectados por exploits conocidos. A
partir del 30 de junio todos los comercios y proveedores de servicio deben
hacer uso de versiones seguras de TLS.
·
En los controles 3.5.1, 6.4.6, 8.3.1, 10.8, 10.8.1, 11.3.4.1, 12.4.1,
12.11 y 12.11.1 se eliminan las referencias a las fechas de entrada en vigencia
de febrero 1 de 2018, ya que esa fecha ha pasado y los controles han entrado totalmente en
vigencia.
La nueva versión
del estándar se puede descargar directamente de la biblioteca de documentos del PCI SSC o desde aquí (en inglés).
Por otro lado, las fecha de transición entre las versiones del estándar
serán las siguientes:
·
Se permitirán validaciones con cualquiera de las dos versiones hasta el
31 de diciembre de 2018.
·
El 1 de enero de 2019 la versión 3.2 será obsoleta.
·
A partir del 1 de enero de 2019 todas las validaciones deberán ser
realizadas únicamente con la versión 3.2.1 de PCI DSS.
Adicionalmente – y
de forma contraria a lo anunciado inicialmente por el PCI SSC – se agregarán
nuevos controles en los Cuestionarios de Auto-Evaluación (SAQ). En
principio, el control 6.2 de PCI DSS (vinculado
con el proceso de despliegue de actualizaciones de seguridad) será incorporado
dentro del SAQ A (para comercios electrónicos y MO/TO con delegación de servicios
en proveedores certificados PCI DSS). Estas nuevas versiones de los SAQ se
publicarán en junio de 2018.
Finalmente, se
anunció que la próxima versión de PCI DSS
tendra previsto su lanzamiento en 2020. Se puede encontrar mas información
en el blog del PCI SSC.
Si quieres conocer
toda la línea del tiempo de los estándares de PCI DSS, incluyendo las
publicaciones de todas las versiones de PA DSS, PCI DSS, PCI PTS y P2PE, no
olvides leer el artículo “La línea de tiempo del comité
de estándares PCI SSC“.
PCI Hispano es un proyecto
cooperativo en idioma español entre profesionales de América y Europa para
compartir conocimiento y experiencias en el proceso de implementación y
auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
·
Inicio
·
La línea de tiempo de los estándares del PCI Security Standards Council
(PCI SSC)
La línea de tiempo
de los estándares del PCI Security Standards Council (PCI SSC)
En septiembre de
2016 se cumplieron los primeros diez años del PCI Security Standards Council, organización
encargada de la gestión de los estándares de seguridad de datos de tarjetas de
pago. Desde su fundación, su objetivo ha sido establecer un marco de trabajo
trasversal entre comercios, proveedores de servicio y entidades financieras
para proteger los datos del titular de tarjeta de exfiltraciones y posteriores
fraudes.
Antes de su existencia, cada una de las marcas que componen el comité
(Visa, American Express, MasterCard, JCB y Discover) contaban con sus propios
programas de seguridad, lo cual dificultaba su implementación para una
organización que procesara diferentes tipos de tarjetas. Igualmente, el reporte
de cumplimiento era bastante engorroso y el esfuerzo que se estaba realizando en
aquel entonces era contraproducente. Adicionalmente, los incidentes de robo
masivo de datos de tarjetas estaban a la orden del día y la necesidad de
organización de una estrategia era una necesidad crítica.
Con la llegada del PCI SSC se centralizaron las mejores características
de cada programa de seguridad de las marcas asociadas y se unificaron los
controles en estándares globales, facilitando su adopción, control y mejora
continua, aportando un conjunto de controles, procedimientos, documentación y
auditorías para optimizar los niveles de protección de los entornos de los
actores involucrados en las transacciones con tarjetas.
Ya han pasado 10
años desde la fundación del PCI SSC y los cambios en la seguridad de datos de
tarjeta son latentes: implementación masiva de PCI DSS y PA DSS, formación a
personal asociado, auditorías contínuas, gestión de incidentes, soporte para el
uso de tecnologías seguras, despliegue de EMV y tokenización, etc. No obstante,
no existe una “bala de plata” que garantice la
seguridad completa: Las vulnerabilidades aparecen cada día, nuevas tecnologías
de pago empiezan a surgir (contactless, uso de teléfonos móviles para pagos,
etc.), los atacantes se especializan cada vez más y los controles actuales
empiezan a quedar obsoletos. Las iniciativas del PCI SSC son solo una de las
acciones necesarias para gestionar el riesgo de los datos de tarjetas de pago.
El resto de la responsabilidad debe ser gestionada mediante la estrategia de
gobernanza corporativa, gestión de riesgos y mejora continua.
En esta línea de tiempo traemos una descripción de los principales hitos
en la historia del PCI SCC que nos permite analizar y entender la evolución en
el cumplimiento desde el 2006 hasta el día de hoy. Aún queda mucho trabajo por
hacer, pero el primer paso ya está dado.
PCI Hispano es un proyecto
cooperativo en idioma español entre profesionales de América y Europa para
compartir conocimiento y experiencias en el proceso de implementación y
auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
·
Inicio
·
El PCI SSC publica la versión 3.2.1 de PCI DSS, define fechas de
transición y anuncia cambios en los SAQ en junio de 2018
El PCI SSC publica
la versión 3.2.1 de PCI DSS, define fechas de transición y anuncia cambios en
los SAQ en junio de 2018
El PCI SSC ha
publicado el 17 de mayo de 2018 la nueva versión 3.2.1 del estándar PCI DSS,
tal y como lo habían anunciado días atrás.
Dentro de los cambios entre la versión 3.2 y la versión 3.2.1 se
encuentran:
·
Se corrigieron erratas menores y errores generales de ortografía.
·
Se remueven las referencias al Anexo A2 en los controles 2.2.3, 2.3 y
4.1.
·
El Anexo A2 solamente permitirá el uso de SSL y versiones tempranas de
TLS en entornos de punto de venta / punto de interacción (POS POI) que no sean
susceptibles de ser afectados por exploits conocidos. A partir del 30 de
junio todos los comercios y proveedores de servicio deben hacer uso de
versiones seguras de TLS.
·
En los controles 3.5.1, 6.4.6, 8.3.1, 10.8, 10.8.1, 11.3.4.1, 12.4.1,
12.11 y 12.11.1 se eliminan las referencias a las fechas de entrada en vigencia
de febrero 1 de 2018, ya que esa fecha ha pasado y los controles han entrado
totalmente en vigencia.
La nueva versión del
estándar se puede descargar directamente de la biblioteca de documentos del PCI SSC o desde aquí (en inglés).
Por otro lado, las fecha de transición entre las versiones del estándar
serán las siguientes:
·
Se permitirán validaciones con cualquiera de las dos versiones hasta el
31 de diciembre de 2018.
·
El 1 de enero de 2019 la versión 3.2 será obsoleta.
·
A partir del 1 de enero de 2019 todas las validaciones deberán ser
realizadas únicamente con la versión 3.2.1 de PCI DSS.
Adicionalmente – y
de forma contraria a lo anunciado inicialmente por el PCI SSC – se agregarán
nuevos controles en los Cuestionarios de
Auto-Evaluación (SAQ). En principio, el control 6.2 de PCI DSS (vinculado con
el proceso de despliegue de actualizaciones de seguridad) será incorporado
dentro del SAQ A (para comercios electrónicos y MO/TO con delegación de
servicios en proveedores certificados PCI DSS). Estas nuevas versiones de los
SAQ se publicarán en junio de 2018.
Finalmente, se
anunció que la próxima versión de PCI DSS tendra previsto su
lanzamiento en 2020. Se puede encontrar mas información en el blog del PCI SSC.
Si quieres conocer
toda la línea del tiempo de los estándares de PCI DSS, incluyendo las
publicaciones de todas las versiones de PA DSS, PCI DSS, PCI PTS y P2PE, no
olvides leer el artículo “La línea de tiempo del comité
de estándares PCI SSC“
No hay comentarios.:
Publicar un comentario