En 2022 se presentó la versión 4 que llegó para reemplazar la versión 3.2.1 del estándar PCI DSS del PCI SSC. Si bien los 12 requisitos siguen vigentes, se introdujeron algunos cambios de distintas naturalezas. Los principales objetivos de estas actualizaciones son optimizar las técnicas de control y validación para obtener claridad en la información del cumplimiento, promover el uso de seguridad en todas las fases de los procesos, mejorar las prácticas de seguridad y aportar flexibilidad e integración con otras metodologías.
Entre las principales novedades que establece la norma se pueden identificar la gestión de autenticación más estrictos, la evaluación y monitorización de los riesgos mediante procesos automatizados de detección de eventos, pruebas y escaneos de vulnerabilidades, entre otras.
Los 12 requisitos ya conocidos y establecidos siguen estando presentes y son el pilar fundamental de la norma. Sin embargo, se espera que las organizaciones implementen de manera mandatoria algunos aspectos que, hasta la versión anterior, eran considerados buenas prácticas y con la v.4 serán mandatorios a partir de 2025:
- Implementar soluciones antimalware que realicen escaneos sobre medios removibles o análisis de comportamiento en los sistemas.
- Implementar tecnología para la detección y el bloqueo de ataques de phishing.
- Utilizar tecnologías WAF.
- Realizar revisiones semestrales de usuarios.
- Implementar soluciones para el análisis dinámico de la seguridad de las cuentas.
- Utilizar mecanismos automatizados para realizar revisiones de los registros de auditoría.
- Contar con la capacidad de detectar fallas en equipos de red, IDS/IPS, FIM, AV, controles de acceso físicos y controles de segmentación.
- Realizar escaneos internos autenticados.
- Contar con IDS/IPS en canales de comunicación de malware encubierto.
- Implementar tecnología para detectar cambios no autorizados en encabezados HTTP y contenidos de páginas de pago.
- Crear programas de concientización en prevención de ataques de phishing e ingeniería social.
- Contar con mecanismos para detección de PAN fuera de alcance.
INSSIDE Ciberseguridad cuenta con un equipo de expertos en la norma PCI DSS y auditores que acompañan a las organizaciones en el alineamiento y cumplimiento de la norma para alcanzar el éxito de la auditoría.
Para más información contáctate con INSSIDE