驴Cu谩les son los principales cambios en los documentos de validaci贸n de PCI DSS v4.0?

Cambios en los documentos de validaci贸n de la PCI聽DSS聽4.0

Si utilizas la soluci贸n cifrada de Adyen, como la integraci贸n de pagos electr贸nicos o la integraci贸n de pagos presenciales, a continuaci贸n se detallan los cambios clave en la nueva versi贸n de la PCI聽DSS. Estos requisitos se aplican a los merchants que aceptan pagos con tarjeta de cr茅dito y los eval煤an con la PCI聽DSS聽4.0.

SAQ聽A

  • Nuevos requisitos de contrase帽a y de autenticaci贸n multifactor (MFA) ampliada (requisito聽8): se recomienda encarecidamente la autenticaci贸n multifactor para todos los componentes del sistema, con el fin de proporcionar una capa adicional de seguridad para evitar que los datos de la cuenta se vean comprometidos. Sin embargo, cuando no se implemente la MFA y se utilice la contrase帽a/frase de contrase帽a como 煤nico m茅todo de inicio de sesi贸n, la contrase帽a/frase de contrase帽a se cambiar谩 al menos una vez cada 90聽d铆as.聽Como alternativa, los merchants pueden aplicar un enfoque personalizado de permitir el acceso a los componentes del sistema caso por caso, bas谩ndose en la configuraci贸n de seguridad de estas cuentas.
  • Concienciaci贸n sobre seguridad (requisito聽6): los merchants deben estar al d铆a de las alertas o informaci贸n sobre nuevas vulnerabilidades de seguridad de los equipos de respuesta a emergencias inform谩ticas (CERT) internacionales y locales.聽
  • An谩lisis trimestrales de vulnerabilidades externas (requisito聽11): los merchants que acepten pagos de comercio electr贸nico deben realizar o tener documentadas pol铆ticas y procedimientos que exijan an谩lisis externos de vulnerabilidades por parte de proveedores de an谩lisis aprobados por el PCI聽SSC al menos una vez cada tres meses y despu茅s de cualquier cambio significativo en el entorno de pago. Aunque inicialmente no se exigen cuatro an谩lisis superados en un plazo de 12聽meses, en los a帽os siguientes se exigen an谩lisis superados al menos cada tres meses. Este requisito entra en vigor inmediatamente.

SAQ聽BIP para pagos presenciales (IPP)

  • Actualizaci贸n de seguridad para los dispositivos IPP (requisito聽6): si el merchant controla qu茅 actualizaci贸n del dispositivo se instala, se requiere que los parches de seguridad se gestionen e instalen en el terminal de pago seg煤n la gravedad y el impacto de la vulnerabilidad identificada.

SAQ聽B-IP para MOTO en el dispositivo IPP

  • Actualizaci贸n de seguridad para los dispositivos IPP (requisito聽6): si el merchant controla qu茅 actualizaci贸n del dispositivo se instala, se requiere que los parches de seguridad se gestionen e instalen en el terminal de pago seg煤n la gravedad y el impacto de la vulnerabilidad identificada.
  • Control de acceso (requisito聽7): este requisito consiste en limitar el acceso temporal a los datos del titular de la tarjeta en el flujo de pagos MOTO mediante la clasificaci贸n y funci贸n laboral de los empleados. Es importante que a las personas solo se les asignen derechos de usuario cuando sea necesario para realizar su trabajo.

SAQ聽C-VT para MOTO en el dispositivo IPP

  • Control de acceso (requisito聽7): al igual que MOTO en dispositivos IPP, este requisito para MOTO completado a trav茅s de terminales virtuales limita el acceso temporal a los datos del titular de la tarjeta en el flujo de pagos MOTO mediante la clasificaci贸n y funci贸n laboral de los empleados. Es importante que a las personas solo se les asignen derechos de usuario cuando sea necesario para realizar su trabajo.

Cambios previstos para el futuro

Los siguientes requisitos son mejores pr谩cticas hasta el 31 de marzo de 2025 y pueden ser 鈥淣o aplicable鈥 en la evaluaci贸n del merchant. Solo estar谩n plenamente vigentes en las evaluaciones realizadas despu茅s de esa fecha.聽

SAQ聽A

  • Nuevo requisito de contrase帽a: a diferencia del requisito m铆nimo de 7聽caracteres de la versi贸n聽3.2.1, para los componentes del sistema se exigir谩 una longitud m铆nima de 12聽caracteres (o SI el sistema no admite 12聽caracteres, una longitud m铆nima de 8聽caracteres) que contenga tanto caracteres num茅ricos como alfab茅ticos.
  • Supervisar la integridad del contenido de la p谩gina de pago (requisitos聽6 y聽11): para reducir el riesgo de ataques de interposici贸n del tipo 鈥渕an-in-the-middle鈥, los merchants deben disponer de un procedimiento (como un mecanismo/tecnolog铆a de detecci贸n de cambios/manipulaciones) para supervisar/confirmar la integridad del encabezado HTTP de la p谩gina de pago y de los scripts 鈥攊ncluida la web que contiene el marco en l铆nea/iFrame del TPSP鈥 ejecutados en el sitio web/aplicaci贸n web del merchant.聽

Para m谩s informaci贸n sobre la transici贸n a la PCI聽DSS聽4.0, consulta la gu铆a de cumplimiento normativo de la PCI聽DSS de Adyen y nuestro art铆culo del blog sobre cumplimiento normativo de la PCI聽DSS聽4.0.

Gu铆a de cumplimiento de la PCI DSS

Encuentra un pr谩ctico glosario y todas las reglas de PCI DSS en Adyen Docs.

Ver la gu铆a de cumplimiento