BLOG

El reloj de PCI DSS 3.2.1 ha llegado a la medianoche... ¿Estás listo para la era 4.0?

Miniatura de Edward O'Connell
Edward O'Connell
Publicado el 1 de abril de 2024

El domingo 31 de marzo de 2024, una fecha importante a nivel mundial, ya pasó. ¿Porque digo eso? Para cualquier organización que acepte pagos de consumidores, es la fecha en que se retiró el estándar de cumplimiento PCI DSS 3.2.1 (1 de mayo de 2018 – 31 de marzo de 2024). Su organización ahora está en el cronograma PCI DSS 4.0 y deberá haber completado un SAQ conforme a 4.0 y una auditoría realizada por una organización externa para marzo de 2025. El no cumplimiento de PCI DSS 4.0 no es una opción si desea registrar ingresos a través de pagos de consumidores.

La especificación PCI DSS 4.0 es una actualización importante de la versión 3.2.1 y puede encontrar el resumen de los cambios aquí . La versión 4.0 introduce numerosos cambios (y también un SAQ actualizado ), pero hay dos áreas completamente nuevas que deben protegerse en la estructura general para lograr y mantener el cumplimiento:

  • Interfaz de programación de aplicação (API) [2.2.7; 6.2.3; 6.2.4]
  • Software a medida [6.X; 8.6.2; 12.8.1]

Para simplificar, profundizaremos un poco más en una parte únicamente del “software a medida”. Este es un software personalizado creado por la organización para ayudar a facilitar el pago del consumidor. El software a medida es el siguiente:

  • Desarrollado internamente o a partir de fuentes externas de terceros
  • Software desarrollado para la aplicação de pago (lado del servidor de la transacción) o enviado al navegador web del consumidor (lado del cliente de la transacción) para impulsar la recopilación de datos

Un desafío para muchas organizaciones será extender la seguridad y el cumplimiento de PCI DSS del software a medida al navegador web del consumidor (Requisitos 6.4.1; 11.6.1). Ahora, proteger las transacciones significa no solo tener que proteger el servidor, sino también monitorear y proteger el navegador web del consumidor del “software a medida” que han lanzado. Y obtener el software personalizado (por ejemplo, JavaScript) para el navegador web del cliente de un tercero no exime al cobrador de pagos de tener que supervisarlo y protegerlo. Intentar señalar con el dedo la fuente no le llevará a ninguna parte ante el auditor.

Entonces, ¿cuáles son los requisitos para un software personalizado del lado del cliente? A partir de la sección 6.4.1, se reduce a esto:

Todos los scripts de la página de pago que se cargan y ejecutan en el navegador del consumidor se gestionan de la siguiente manera:

  • Se implementa un método para confirmar que cada script esté autorizado.
  • Se implementa un método para asegurar la integridad de cada script.
  • Se mantiene un inventario de todos los guiones con una justificación escrita de por qué cada uno es necesario.

Esto significa que todo el software (scripts) distribuido debe ser inventariado, justificado y monitoreado con un plan de acción para remediarlo si se identifica una violación. ¿Su personal de seguridad de TI/aplicaciones está preparado para gestionar, supervisar e informar sobre este requisito? ¿Usted y su equipo han conversado con su auditor de PCI DSS sobre la programación de una revisión de cumplimiento de PCI 4.0? Es hora de garantizar que su plan de seguridad y cumplimiento de PCI DSS esté encaminado y no interrumpa sus operaciones de seguridad y, lo que es más importante, también la recaudación de ingresos de su organización. Porque proteger el lado del cliente de sus transacciones para cumplir con el estándar PCI DSS 4.0 está mucho más cerca de lo que usted imagina.