El 31 de marzo de 2025 entran en vigor los nuevos requisitos PCI 4.0. Estos requisitos estaban fechados en el futuro para permitir a las organizaciones la capacidad de prepararse para la adopción.
desde el Guía de diseño minorista PCI 2.0 fue publicado por Cisco en 2011, no ha habido una actualización tan grande como PCI 4.0. Esta actualización tiene una serie de cambios y, como tal, se ha dividido en dos fases, a partir de 2024. En normal, los principios de la guía de diseño minorista Cisco 2.0 existente son consistentes, con un fortalecimiento de los requisitos y la incorporación de tecnologías más nuevas. Por lo tanto, utilizaremos esto como marco 2.0 existente como base para discutir nuevos requisitos en PCI 4.0. Para obtener una descripción normal completa de los requisitos de PCI DSS, así como las herramientas para cumplirlos, este weblog proporciona un poco más de profundidad.
¿Qué hay de nuevo en PCI 4.0?
Nuevos requisitos de seguridad
La necesidad de una autenticación multifactor ubicua es un gran cambio. También hay un fortalecimiento generalizado de los requisitos de autenticación y contraseña, y se agregan nuevos requisitos de comercio electrónico y phishing a la guía PCI.
Si bien no es exhaustivo, a continuación se muestran algunos requisitos nuevos agregados a PCI DSS 4.0.0 y 4.0.1.
- Nuevos requisitos para hash PAN y uso en medios electrónicos, así como protección contra copia para tecnologías de acceso remoto
- Nuevos requisitos sobre el uso de certificados para la transmisión PAN para no permitir certificados caducados o revocados.
- Nuevos requisitos sobre malware y phishing
- Nuevos requisitos para sitios net de comercio electrónico y aplicaciones net públicas
- Nuevos requisitos para la revisión de cuentas de usuario y el uso de MFA para acceso whole al CDE
- Nuevos requisitos sobre gestión de cuentas de sistemas y codificación de contraseñas.
- Nuevos requisitos para herramientas de auditoría para revisiones de registros automatizadas
Nuevas políticas y procesos
La seguridad requiere controles técnicos, controles de políticas y personas. En cada dominio existe ahora un requisito de política y roles claramente definidos para garantizar que se puedan cumplir todos los aspectos del management, con una propiedad clara. Este es un cambio normal más amplio para PCI y ayuda a garantizar la gobernanza interna de todos los aspectos del cumplimiento de PCI.
Mayor flexibilidad con el enfoque personalizado
La tecnología ha cambiado drásticamente desde que se lanzó por primera vez el estándar PCI. Con la adopción de tecnologías de nube pública y privada más modernas, para incluir arquitecturas impulsadas por eventos y tecnologías de contenedores, los estándares deben ser flexibles para adaptarse a las nuevas capacidades. Por lo tanto, existe flexibilidad para garantizar que si un management compensatorio puede lograr adecuadamente un objetivo de seguridad, ahora existe un enfoque personalizado que puede permitir a las empresas innovar sin dejar de cumplir.
Este es un cambio bastante grande con respecto a los estándares PCI anteriores. La opción personalizada permite a los minoristas investigar tecnologías más nuevas que pueden no tener la misma forma y función de management que las tecnologías tradicionales han utilizado. Esto es importante al evaluar arquitecturas de aplicaciones impulsadas por eventos, herramientas de inteligencia synthetic y tecnologías nativas de la nube modernas, ya que permite cierta flexibilidad para adoptar tecnologías modernas como controles personalizados. Este tema es amplio y está fuera del alcance de este weblog, pero se puede encontrar en el estándar PCI o en un resumen en el Guía de referencia rápida para PCI DSS 4.0.
Se pueden encontrar detalles adicionales sobre los requisitos y cómo cumplir con los controles de seguridad que se pueden utilizar para ayudar a cumplir estos requisitos. aquí.
Cambios de derivados
El requisito de seguridad inalámbrica no ha cambiado. Un aspecto único de la tecnología inalámbrica en PCI que lo diferencia de otras tecnologías es que ciertos requisitos (1.3.3, 9.2.3) se aplican a todas las redes inalámbricas, incluso fuera del entorno de datos del titular de la tarjeta. Esto no sólo se aplicará a los entornos de tiendas donde hay lectores de tarjetas conectados inalámbricos. La pink inalámbrica es la pink pública con la mayor superficie de ataque en el entorno de los minoristas.
Lo que está cambiando con respecto a la tecnología inalámbrica son los propios estándares. mientras Guía de súplica inalámbrica PCI Desde hace 2011 años se señala que se debe usar WPA2 y posteriores, WPA3 se lanzó en 2019 y WPA4 está en el horizonte. En 2024, NIST publicó una guía de transición para los protocolos criptográficos poscuánticos y la obsolescencia de estos protocolos para 2030. Esto implica que en los próximos años, los minoristas se enfrentarán a la actualización de sus redes inalámbricas para mantener el cumplimiento de PCI con las tecnologías WPA más nuevas. Esto es específicamente para cumplir con el requisito 4.2.1.2 de PCI, para todos los entornos inalámbricos que admiten la transmisión de datos de titulares de tarjetas, que «utilicen las mejores prácticas de la industria para implementar criptografía sólida para la autenticación y transmisión». A medida que evolucionan las mejores prácticas de la industria, también debe hacerlo el entorno minorista.
Comuníquese con su equipo de cuentas si tiene preguntas o demostraciones sobre cómo la tecnología de Cisco está ayudando a nuestros minoristas más grandes a abordar estos nuevos requisitos.
Compartir:
