El 31 de marzo de 2024, el estándar de seguridad de datos PCI DSS v3.2.1 será retirado y dejará de ser válido, luego la única vigente será la versión 4.0.
Conoce: ¿Qué novedades nos trae PCI DSS v4.0?
Tengan en cuenta los siguientes pasos para cumplir PCI DSS v4.0:
- Revisar los cambios: Identificar los tipos de cambios (requisitos en evolución, aclaración u orientación y de estructura o formato). Asimismo, se deben revisar qué requisitos son aplicables inmediatamente y con vigencia el 1 de abril de 2025.
- Comprender los requisitos y las partes del estándar: Es importante comprender los doce requisitos y sus procedimientos de prueba. La siguiente figura describe las columnas y el contenido de los requisitos de PCI DSS
- Definir enfoque de cumplimiento: La versión 4.0 proporciona ahora dos tipos de enfoques para su implementación y su revisión:la Flexibilidad a las organizaciones que utilizan diferentes métodos para alcanzar los objetivos de seguridad:
- Enfoque definido: es el método tradicional, apoya a las empresas que ya cuentan con controles de seguridad que cumplen con PCI DSS. También, funciona para empresas nuevas que van a comenzar una implementación de PCI DSS.
- Enfoque Personalizado: se centra en el objetivo de cada requisito y está basado en un análisis de riesgos, los procedimientos de prueba deben ser documentados por la entidad y revisados por el asesor. Este enfoque está diseñado para empresas maduras.
- Capacitar al personal: Es necesario programar capacitaciones a todo el personal involucrado en el alcance de PCI DSS, asimismo, tener en cuenta realizar capacitaciones y talleres específicos para los especialistas de tecnologías y seguridad de información a fin de que puedan tener las herramientas para poder diseñar e implementar los requisitos de PCI DSS.
- Realizar autoevaluación: Los requisitos de PCI DSS están estructurados de manera que puedes utilizar los procedimientos de prueba para realizar una autoevaluación de cumplimiento del estándar. Además, esto les permitirá identificar brechas de manera temprana y poder tomar acciones correctivas antes de tener una evaluación de parte de un asesor de seguridad calificado.
- Diseñar e Implementar controles: Posterior a tener las brechas identificadas, se deben planificar las acciones de remediación, las cuales, incluye proyectos de implementación de controles. Se debe considerar lo siguiente:
- Documentar los procesos tales como políticas, procedimientos requeridos por PCI DSS.
- El PCI Security Standards Council (PCI SSC) proporciona el Enfoque Priorizado, el cual, es factible como hoja de ruta que una organización puede utilizar para abordar sus riesgos en orden de prioridad.
- Implementar controles de complejidad baja (corto plazo) y complejidad alta (mediano y largo plazo)
- Contar con un equipo de seguridad de confianza: Es esencial contar con personal interno o externo calificados como Profesionales de la Industria de Tarjetas de Pago (PCIP), Asesores de Seguridad Interna (ISA) y/o Asesores de Seguridad Calificados (QSA). Estas personas o empresas que tienen especialistas con esta calificación pueden apoyarlos en el acompañamiento para el cumplimiento de PCI DSS. Es recomendable comprobar el conocimiento y experiencia del personal a través de reuniones o entrevistas.
En GLOBALSEC PERÚ ofrecemos servicios de seguridad en tarjetas de pago. Conoce más de nuestro servicio en: https://globalsecperu.com/servicios/
