¿Por qué PCI DSS 4.0 debería estar en tu radar durante 2023? La respuesta es sencilla: este será el año de transición para migrar de la versión 3.2.1 a la 4.0. Si en marzo de 2024 tu empresa no cumple con la versión 4.0 tendrás un problema.
La protección de los datos de tus clientes es crítica para cualquier negocio que acepte información de pagos online. El PCI DSS (Payment Card Industry Data Security Standard) es una certificación, avalada por las principales compañías emisoras de tarjetas de pago (VISA, Mastercard, JCB, Discover y American Express), cuyo principal objetivo es reducir el fraude relacionado con las tarjetas de pago y la protección de sus datos. Las organizaciones que cumplen con esta normativa pueden garantizar que la información personal y financiera de sus clientes está segura.
Las nuevas actualizaciones del estándar se centran en satisfacer las necesidades de seguridad, en evolución constante, de la industria de pagos y promover la seguridad como un proceso continuo.
El estándar de seguridad PCI DSS es de obligado cumplimiento para cualquier negocio que procese, almacene o transmita información de tarjetas de crédito. Su incumplimiento puede suponer elevadas sanciones e incluso la pérdida de la licencia para operar con tarjetas, eso sin tener en cuenta la pérdida de confianza del cliente si sus datos son vulnerados, lo que puede ser devastador para cualquier negocio. Hay quienes creen que esto se limita a entidades bancarias y negocios online, sin embargo, la certificación PCI DSS es necesaria también en: las pasarelas de pago de los e-commerce, los call centers que realizan gestión de cobros y las empresas que realizan reservas de bienes y servicios como hoteles o agencias de viajes y así un largo listado.
Marzo de 2024
PCI DSS 4.0 se lanzó en marzo de 2022 y reemplazará a la versión actual, la 3.2.1., el 31 de marzo de 2024. Eso proporciona un período de transición que las organizaciones deben aprovechar para adecuarse a los nuevos requerimientos de la norma. Algunos de estos requerimientos se centran en la seguridad del lado del cliente. Las empresas deben conocer qué activos web tienen y de dónde provienen, examinar el código y seguir las prácticas establecidas por PCI DSS 4.0. Esto podría plantear un problema para las grandes empresas si no comienzan pronto a realizar el proceso de transición ya que este trabajo podría suponer miles de horas.
El PCI Security Standards Council (PCI SSC) ha creado la nueva normativa tras escuchar durante 3 años los comentarios de referentes en la industria de pagos globales. Más de 200 organizaciones proporcionaron su visión para garantizar que la norma continúe siendo efectiva en un panorama complejo y en constante cambio como es el de la seguridad de pagos.
Las actualizaciones de esta nueva versión se centran, además de en satisfacer las necesidades de seguridad en evolución de la industria de pagos, en añadir flexibilidad a las diferentes metodologías, en promover la seguridad como un proceso continuo y en mejorar los métodos y procedimientos de validación. Algunas novedades de la nueva versión:
- La gestión de identidades y accesos cobra especial importancia para la protección de los datos del titular de tarjeta por lo que en esta versión se han introducido cambios notables en al proceso de autenticación e inicio de sesión.
- Novedades en cuanto a la concienciación en ciberseguridad.
- Se endurecen los requisitos asociados al desarrollo seguro, la gestión de vulnerabilidades y la monitorización de los activos.
- También destacan cambios en la transmisión, visualización y almacenamiento de los datos de tarjetas.
Todos estos cambios permitirán disponer de un entorno más seguro pero la realidad es que va a suponer un trabajo extra para las empresas por lo que es importante comenzar este proceso de transición de la versión 3.2.1. a la 4.0 cuanto antes. Como dice el dicho, “no dejes para mañana lo que puedas hacer hoy”.
Miguel Ángel Rojo, CEO de Botech
