PCI DSS 4.0

Autor: Luis Medina

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) 4.0 es la última versión de las normas que buscan proteger la información de las tarjetas de pago contra el robo y el fraude. Esta versión introduce actualizaciones y cambios para adaptarse a las nuevas amenazas y tecnologías emergentes en el ámbito de la ciberseguridad.

PCI DSS está orientado a todas las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta (CHD por sus siglas en inglés de cardholder data) y/o datos de autenticación confidenciales (SAD sensitive authentication data).

 

Timeline para actualizar a PCI 4.0

La versión 3.2.1 de PCI DSS permanecerá activa durante dos años después de la publicación de la versión 4.0. Esto brinda a las organizaciones tiempo para familiarizarse con la nueva versión y planificar e implementar los cambios necesarios.

Las nuevas disposiciones tendrán efecto a partir del 31 de Marzo de 2025 terminando el plazo de dos años que las organizaciones han tenido para adecuarse a la norma y sus nuevas características y las disposiciones de cumplimiento de la nueva versión serán obligatorias.

Principales Actualizaciones

  • Ampliación del Requisito 8 para implementar la autenticación multifactor (MFA) para todos los accesos al entorno de datos del titular de la tarjeta.
  • Se actualizó la terminología de firewall para los controles de seguridad de la red a fin de admitir una gama más amplia de tecnologías utilizadas para cumplir con los objetivos de seguridad que tradicionalmente se cumplían con los firewalls.
  • Mayor flexibilidad para que las organizaciones demuestren cómo están utilizando diferentes métodos para lograr los objetivos de seguridad.
  • Incorporación de análisis de riesgos específicos para permitir que las entidades tengan la flexibilidad de definir la frecuencia con la que realizan determinadas actividades, según se adapte mejor a sus necesidades comerciales y exposición al riesgo.

Cómo TrustDimension ayuda a las organizaciones con el cumplimiento de PCI DSS

Con décadas de experiencia ayudando a bancos e instituciones financieras a cumplir con las regulaciones y cumplimientos de la industria, TrustDimension, de la mano de Thales e Imperva ofrece productos y servicios integrados que permiten a su organización proteger los datos de titulares de tarjetas y estén seguros cuando están almacenados, cuando se transmiten al cifrarlos, a restringir el acceso según la necesidad, a proteger las aplicaciones que gestionan las transacciones de pago y a proteger las bases de datos que resguardan la información sensible así como a auditar las transacciones que realizan e involucran información sensible.

Descubre como TrustDimension trabaja en estrecha colaboración con sus socios tecnológicos Thales e Imperva para ofrecer soluciones integrales que puedan reducir el alcance de su carga de cumplimiento de PCI DSS.

Como abordar algunos de los requisitos de cumplimiento de PCI DSS 4.0

Requisito 2: Aplicar configuraciones seguras a todos los componentes del sistema.

TrustDimension puede proveerle soluciones de Thales e Imperva que le ayudan a:

  • Descubrir, analizar y priorizar vulnerabilidades.
  • Lograr Multi-Tenancy y así separación de funciones por Unidades funcionales o de negocio.
  • Acceso administrativo cifrado sin consola.

Y lo resolvemos con los siguientes productos o tecnología:

PCI DSS 4.0

 

 

 

Requisito 3: Proteger los datos de cuenta/tarjeta almacenados.

TrustDimension puede proveerle soluciones de Thales e Imperva que le ayudan a:

  • Descubrir y clasificar los datos de los titulares de tarjetas.
  • Cifrar y tokenizar los datos de los titulares de tarjetas.
  • Proteger las claves de cifrado en dispositivos FIPS 140-2 L3.
  • Gestión del ciclo de vida de claves y secretos.

Y lo resolvemos con los siguientes productos o tecnología:

Requisito 4: Proteger los datos del titular de la tarjeta con criptografía sólida durante la transmisión de información.

TrustDimension puede proveerle soluciones de Thales e Imperva que le ayudan a:

  • Tokenización y cifrado de datos antes de la transmisión.
  • Cifrado de alta velocidad de datos en movimiento.

Y lo resolvemos con los siguientes productos o tecnología:

¿Cuales podrían ser los efectos de no cumplimiento?

El incumplimiento de los requisitos de PCI DSS puede dar lugar a multas, mayores impuestos o cargos arancelarios o incluso la cancelación de su capacidad para procesar transacciones con tarjetas de pago.

El cumplimiento de PCI DSS no se puede considerar de forma aislada; las organizaciones están sujetas a múltiples regulaciones de seguridad y leyes de protección de datos sensibles y personales. Por otro lado, los proyectos de cumplimiento de PCI pueden verse fácilmente afectados por iniciativas de seguridad empresarial más amplias.

Entre las sanciones también pueden incluirse mayores requisitos de auditoría y el posible cierre de la actividad de tarjetas de crédito por parte de un banco comercial o una marca de tarjetas de crédito.

TrustDimension: Seguridad en la que puedes confiar

Descubra como TrustDimension puede ayudar a su organización a dar cumplimiento a estos y a otros 10 requerimientos de PCI DSS con las tecnologías de Thales e Imperva enfocadas en la Protección de Datos.

Con gusto podemos atender una sesión informativa remota o presencial, en sus oficinas, para apoyarle en dar cumplimiento a esta y otras normativas o temas de ciberseguridad, permítanos ser su mano derecha en temas de ciberseguridad y cumplimiento PCI 4.0. Contáctanos.