Los próximos cambios en el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) afectarán a todas las organizaciones que almacenan, transmiten o procesan datos de titulares de tarjetas y/o datos confidenciales de autenticación.
A partir de marzo de 2024, el nuevo estándar, conocido como PCI DSS 4.0, abarca docenas de cambios en áreas que incluyen la evaluación de riesgos, cómo se administran las claves y los certificados, y a qué se puede acceder de forma remota.
La actualización también afectará la gestión de identidades y accesos (IAM) y las tecnologías utilizadas para el filtrado de correo electrónico, antimalware, autenticación multifactor (MFA), información de seguridad y gestión de eventos (SIEM), así como el desarrollo de aplicaciones.
Los requisitos afectan a una gran parte de la infraestructura de TI, desde dispositivos de red, máquinas virtuales, servidores de autenticación e infraestructura en la nube hasta terminales de pago, sistemas administrativos de pago, carritos de compras, sistemas de seguridad física, controles de seguridad de la red interna y más.
Darren Carroll, director general de servicios de seguridad en el integrador de soluciones Insight Enterprises, explica que el PCI Security Standards Council (SSC) actualiza periódicamente la orientación bajo el DSS para impulsar la mejora continua y la madurez en el programa de ciberseguridad de las organizaciones.
Él llama al próximo DSS v4.0 un “paso adelante demostrable” en la conducción de controles técnicos y administrativos relacionados con la seguridad de los datos relacionados con la aceptación y el procesamiento de transacciones con tarjetas de crédito.
“El nuevo estándar es el más transformador lanzado hasta la fecha, con los cambios impulsados por la necesidad de mantenerse al día con las tecnologías y proporcionar un nivel mucho mayor de flexibilidad para cumplir con los requisitos que en las versiones anteriores”, explica.
Señala que hay dos flujos de trabajo principales para prepararse para el cumplimiento de DSS v4.0, con un posible flujo de trabajo provisional. El primer paso es completar todas las actividades relacionadas con el cumplimiento de DSS v3.2.1 existente.
“Con el esfuerzo de v3.2.1 completado, eso servirá como una línea de base fundamental para prepararse para los próximos cambios”, dice Carroll.
El segundo paso es realizar una “evaluación de brechas” para cuantificar los aspectos faltantes o incompletos relacionados con los requisitos nuevos o ampliados.
Él dice que el flujo de trabajo potencial a mitad del proceso puede implicar la remediación y/o el cierre de posibles brechas.
“El aspecto más crítico es identificar el delta en la implementación de controles lo antes posible debido al alcance y el impacto de los nuevos requisitos que probablemente enfrentarán muchas empresas”, dice. “Hacerlo proporcionará la cantidad máxima de tiempo y ciclos presupuestarios para abordar los cambios”.
Carroll agrega que el impacto de PCI DSS v4.0 se sentirá en toda la empresa, lo que significa que los ejecutivos de finanzas, TI y desarrollo de aplicaciones, entre otros departamentos, tendrán actividades relacionadas con el cumplimiento de PCI DSS v4.0.
El cumplimiento requiere una integración profunda en toda la empresa
Hay varios cambios impactantes en los requisitos asociados con el cumplimiento de DSS v4.0, que van desde el desarrollo de políticas (todos los cambios requerirán cierto nivel de cambios de políticas) hasta la Infraestructura de clave pública (PKI), ya que habrá múltiples cambios relacionados con la forma en que las claves y se gestionan los certificados.
Carroll señala que también habrá problemas de acceso remoto, incluidos cambios definidos en la forma en que se puede acceder a los sistemas de forma remota y evaluaciones de riesgos, que ahora se requieren para múltiples y periódicas “evaluaciones de riesgos específicas” para capturar el riesgo en un formato especificado por PCI DSS.
Dan Stocker, director de Coalfire, un proveedor de servicios de asesoramiento sobre seguridad cibernética, señala que la tecnología financiera está creciendo rápidamente, con usos innovadores para los datos de las tarjetas de crédito. “Las entidades deben evaluar de manera realista sus obligaciones bajo PCI”, dice. “El uso de técnicas de descoping, como la tokenización, puede reducir el costo total de cumplimiento, pero también limitar las opciones de desarrollo de productos”.
Explica que las empresas modernas tienen múltiples obligaciones de cumplimiento en diversos temas, como informes financieros, privacidad y, en el caso de los proveedores de servicios, muchas más (en nombre de sus clientes).
Beneficios de un Marco Común de Control
Desde la perspectiva de Stocker, PCI debe integrarse en un marco de control común, para que la organización pueda gestionar el cumplimiento de manera eficiente.
Además, DSS v4.0 ahora define requisitos para tecnologías específicas relacionadas con (por ejemplo) filtrado de correo electrónico, antimalware, autenticación multifactor, SIEM y más Ciclo de vida de desarrollo de software (SDLC).
Para las entidades con aplicaciones personalizadas, los requisitos incluirán la documentación de los componentes utilizados en las aplicaciones específicas, su revisión y la verificación de que los controles de seguridad se implementen correctamente.
Finalmente, el nuevo estándar afecta la identidad y la autenticación, incluidos los requisitos mejorados para revisar el acceso y administrar las cuentas de servicios y aplicaciones, además de los cambios en los requisitos de contraseña.
“Este es un cambio fundamental e impactante para el cumplimiento de DSS”, dice Carroll. “Supuestamente, la mayoría de las organizaciones tendrán la mayoría, si no todos, los nuevos requisitos ya implementados, pero la codificación y los informes relacionados con PCI serán un cambio significativo para la mayoría de las empresas”.
Stocker dice que los líderes de cumplimiento pueden comenzar a rodar la pelota, pero la experiencia ha demostrado que el cumplimiento es más efectivo (y menos costoso) cuando se integra en la gobernanza y el desarrollo de productos existentes.
“La administración central está bien, pero llevar el conocimiento de cumplimiento a los equipos clave puede tener múltiples beneficios”, dice. “El amplio impacto de DSS 4.0 significa que incluso las funciones de cumplimiento maduras necesitarán un poco de mejora”.
Agrega que si bien 18 meses parecen una eternidad en el mundo de la tecnología, ninguna organización se detiene.
“Las organizaciones proactivas querrán evaluar el impacto e integrar los nuevos requisitos en su producto existente y en la planificación de actualizaciones”, dice Stocker.
Qué leer a continuación:
Herramientas FinTech, preocupaciones de seguridad en la mente de Gen-Z Banking
Black Hat a los 25: por qué la ciberseguridad va a empeorar antes de mejorar
Enfrentando el desafío del cumplimiento de la ciberseguridad