¿Cuáles son los principales cambios en los documentos de validación de PCI DSS v4.0?

Cambios en los documentos de validación de la PCI DSS 4.0

Si utilizas la solución cifrada de Adyen, como la integración de pagos electrónicos o la integración de pagos presenciales, a continuación se detallan los cambios clave en la nueva versión de la PCI DSS. Estos requisitos se aplican a los merchants que aceptan pagos con tarjeta de crédito y los evalúan con la PCI DSS 4.0.

SAQ A

• Nuevos requisitos de contraseña y de autenticación multifactor (MFA) ampliada (requisito 8): se recomienda encarecidamente la autenticación multifactor para todos los componentes del sistema, con el fin de proporcionar una capa adicional de seguridad para evitar que los datos de la cuenta se vean comprometidos. Sin embargo, cuando no se implemente la MFA y se utilice la contraseña/frase de contraseña como único método de inicio de sesión, la contraseña/frase de contraseña se cambiará al menos una vez cada 90 días. Como alternativa, los merchants pueden aplicar un enfoque personalizado de permitir el acceso a los componentes del sistema caso por caso, basándose en la configuración de seguridad de estas cuentas.
• Concienciación sobre seguridad (requisito 6): los merchants deben estar al día de las alertas o información sobre nuevas vulnerabilidades de seguridad de los equipos de respuesta a emergencias informáticas (CERT) internacionales y locales. 
• Análisis trimestrales de vulnerabilidades externas (requisito 11): los merchants que acepten pagos de comercio electrónico deben realizar o tener documentadas políticas y procedimientos que exijan análisis externos de vulnerabilidades por parte de proveedores de análisis aprobados por el PCI SSC al menos una vez cada tres meses y después de cualquier cambio significativo en el entorno de pago. Aunque inicialmente no se exigen cuatro análisis superados en un plazo de 12 meses, en los años siguientes se exigen análisis superados al menos cada tres meses. Este requisito entra en vigor inmediatamente.

SAQ BIP para pagos presenciales (IPP)

• Actualización de seguridad para los dispositivos IPP (requisito 6): si el merchant controla qué actualización del dispositivo se instala, se requiere que los parches de seguridad se gestionen e instalen en el terminal de pago según la gravedad y el impacto de la vulnerabilidad identificada.

SAQ B-IP para MOTO en el dispositivo IPP

• Actualización de seguridad para los dispositivos IPP (requisito 6): si el merchant controla qué actualización del dispositivo se instala, se requiere que los parches de seguridad se gestionen e instalen en el terminal de pago según la gravedad y el impacto de la vulnerabilidad identificada.
• Control de acceso (requisito 7): este requisito consiste en limitar el acceso temporal a los datos del titular de la tarjeta en el flujo de pagos MOTO mediante la clasificación y función laboral de los empleados. Es importante que a las personas solo se les asignen derechos de usuario cuando sea necesario para realizar su trabajo.

SAQ C-VT para MOTO en el dispositivo IPP

• Control de acceso (requisito 7): al igual que MOTO en dispositivos IPP, este requisito para MOTO completado a través de terminales virtuales limita el acceso temporal a los datos del titular de la tarjeta en el flujo de pagos MOTO mediante la clasificación y función laboral de los empleados. Es importante que a las personas solo se les asignen derechos de usuario cuando sea necesario para realizar su trabajo.

Cambios previstos para el futuro

Los siguientes requisitos son mejores prácticas hasta el 31 de marzo de 2025 y pueden ser “No aplicable” en la evaluación del merchant. Solo estarán plenamente vigentes en las evaluaciones realizadas después de esa fecha. 

SAQ A

• Nuevo requisito de contraseña: a diferencia del requisito mínimo de 7 caracteres de la versión 3.2.1, para los componentes del sistema se exigirá una longitud mínima de 12 caracteres (o SI el sistema no admite 12 caracteres, una longitud mínima de 8 caracteres) que contenga tanto caracteres numéricos como alfabéticos.
• Supervisar la integridad del contenido de la página de pago (requisitos 6 y 11): para reducir el riesgo de ataques de interposición del tipo “man-in-the-middle”, los merchants deben disponer de un procedimiento (como un mecanismo/tecnología de detección de cambios/manipulaciones) para supervisar/confirmar la integridad del encabezado HTTP de la página de pago y de los scripts —incluida la web que contiene el marco en línea/iFrame del TPSP— ejecutados en el sitio web/aplicación web del merchant. 

Para más información sobre la transición a la PCI DSS 4.0, consulta la guía de cumplimiento normativo de la PCI DSS de Adyen y nuestro artículo del blog sobre cumplimiento normativo de la PCI DSS 4.0.