Cambios en los documentos de validación de la PCI DSS 4.0

Si utilizas la soluci√≥n cifrada de Adyen, como la integraci√≥n de pagos electr√≥nicos o la integraci√≥n de pagos presenciales, a continuaci√≥n se detallan los cambios clave en la nueva versi√≥n de la PCI¬†DSS. Estos requisitos se aplican a los merchants que aceptan pagos con tarjeta de cr√©dito y los eval√ļan con la PCI¬†DSS¬†4.0.

SAQ A

  • Nuevos requisitos de contrase√Īa y de autenticaci√≥n multifactor (MFA) ampliada (requisito¬†8): se recomienda encarecidamente la autenticaci√≥n multifactor para todos los componentes del sistema, con el fin de proporcionar una capa adicional de seguridad para evitar que los datos de la cuenta se vean comprometidos. Sin embargo, cuando no se implemente la MFA y se utilice la contrase√Īa/frase de contrase√Īa como √ļnico m√©todo de inicio de sesi√≥n, la contrase√Īa/frase de contrase√Īa se cambiar√° al menos una vez cada 90¬†d√≠as.¬†Como alternativa, los merchants pueden aplicar un enfoque personalizado de permitir el acceso a los componentes del sistema caso por caso, bas√°ndose en la configuraci√≥n de seguridad de estas cuentas.
  • Concienciaci√≥n sobre seguridad (requisito¬†6): los merchants deben estar al d√≠a de las alertas o informaci√≥n sobre nuevas vulnerabilidades de seguridad de los equipos de respuesta a emergencias inform√°ticas (CERT) internacionales y locales.¬†
  • An√°lisis trimestrales de vulnerabilidades externas (requisito¬†11): los merchants que acepten pagos de comercio electr√≥nico deben realizar o tener documentadas pol√≠ticas y procedimientos que exijan an√°lisis externos de vulnerabilidades por parte de proveedores de an√°lisis aprobados por el PCI¬†SSC al menos una vez cada tres meses y despu√©s de cualquier cambio significativo en el entorno de pago. Aunque inicialmente no se exigen cuatro an√°lisis superados en un plazo de 12¬†meses, en los a√Īos siguientes se exigen an√°lisis superados al menos cada tres meses. Este requisito entra en vigor inmediatamente.

SAQ BIP para pagos presenciales (IPP)

  • Actualizaci√≥n de seguridad para los dispositivos IPP (requisito¬†6): si el merchant controla qu√© actualizaci√≥n del dispositivo se instala, se requiere que los parches de seguridad se gestionen e instalen en el terminal de pago seg√ļn la gravedad y el impacto de la vulnerabilidad identificada.

SAQ B-IP para MOTO en el dispositivo IPP

  • Actualizaci√≥n de seguridad para los dispositivos IPP (requisito¬†6): si el merchant controla qu√© actualizaci√≥n del dispositivo se instala, se requiere que los parches de seguridad se gestionen e instalen en el terminal de pago seg√ļn la gravedad y el impacto de la vulnerabilidad identificada.
  • Control de acceso (requisito¬†7): este requisito consiste en limitar el acceso temporal a los datos del titular de la tarjeta en el flujo de pagos MOTO mediante la clasificaci√≥n y funci√≥n laboral de los empleados. Es importante que a las personas solo se les asignen derechos de usuario cuando sea necesario para realizar su trabajo.

SAQ C-VT para MOTO en el dispositivo IPP

  • Control de acceso (requisito¬†7): al igual que MOTO en dispositivos IPP, este requisito para MOTO completado a trav√©s de terminales virtuales limita el acceso temporal a los datos del titular de la tarjeta en el flujo de pagos MOTO mediante la clasificaci√≥n y funci√≥n laboral de los empleados. Es importante que a las personas solo se les asignen derechos de usuario cuando sea necesario para realizar su trabajo.

Cambios previstos para el futuro

Los siguientes requisitos son mejores pr√°cticas hasta el 31 de marzo de 2025 y pueden ser ‚ÄúNo aplicable‚ÄĚ en la evaluaci√≥n del merchant. Solo estar√°n plenamente vigentes en las evaluaciones realizadas despu√©s de esa fecha.¬†

SAQ A

  • Nuevo requisito de contrase√Īa: a diferencia del requisito m√≠nimo de 7¬†caracteres de la versi√≥n¬†3.2.1, para los componentes del sistema se exigir√° una longitud m√≠nima de 12¬†caracteres (o SI el sistema no admite 12¬†caracteres, una longitud m√≠nima de 8¬†caracteres) que contenga tanto caracteres num√©ricos como alfab√©ticos.
  • Supervisar la integridad del contenido de la p√°gina de pago (requisitos¬†6 y¬†11): para reducir el riesgo de ataques de interposici√≥n del tipo ‚Äúman-in-the-middle‚ÄĚ, los merchants deben disponer de un procedimiento (como un mecanismo/tecnolog√≠a de detecci√≥n de cambios/manipulaciones) para supervisar/confirmar la integridad del encabezado HTTP de la p√°gina de pago y de los scripts ‚ÄĒincluida la web que contiene el marco en l√≠nea/iFrame del TPSP‚ÄĒ ejecutados en el sitio web/aplicaci√≥n web del merchant.¬†

Para más información sobre la transición a la PCI DSS 4.0, consulta la guía de cumplimiento normativo de la PCI DSS de Adyen y nuestro artículo del blog sobre cumplimiento normativo de la PCI DSS 4.0.

 

Guía de cumplimiento de la PCI DSS

Encuentra un pr√°ctico glosario y todas las reglas de PCI DSS en Adyen Docs.