El PCI Council avanza nuevos cambios para PCI DSS y PA DSS

Hoy, el PCI Security Standards Council (PCI SSC), foro global y abierto para el desarrollo de estándares en materia de seguridad de tarjetas de pago, ha publicado PCI Data Security Standard (PCI DSS) and Payment Application Data Security Standard (PA-DSS) 3.0 Change Highlights, un PDF con las principales modificaciones, para la versión 3.0, del estándar de seguridad de datos de aplicaciones de pagos (PA-DSS) y el estándar de seguridad de datos (PCI DSS), dónde podremos encontrar un anticipo de la nueva versión de los estándares, cuya publicación está prevista para noviembre de 2013.

Los cambios que se realizarán en los estándares han sido clasificados en tres categorías:

Aclaración (Clarification): Cambios principalmente en el texto descriptivo del control, orientado hacia una mejor explicación del objetivo. 

Guía adicional (Additional Guidance): Introduce ejemplos, instrucciones o definiciones adicionales que permiten aumentar el entendimiento o proporcionar mayor información en relación con algún aspecto del requisito.

Evolución del requisito (Evolving Requirement): Modificaciones completas o parciales del control que implican un cambio importante con el fin de adaptarse a las amenazas emergentes y/o cambios en el mercado.

A continuación se enumeran los cambios más importantes en cada uno de los estándares. Sin embargo, este listado está sujeto a modificaciones hasta que se realice la publicación final.

Cambios previstos en PCI DSS v3.0

Entre los principales cambios previstos en PCI DSS v3.0 se encuentran:
  • Mantener un diagrama de red que describa los flujos de datos de tarjetas de pago
  • Mantener un inventario de componentes de sistema dentro del alcance de cumplimiento (ver Cardholder Data Matrix)
  • Evaluar las amenazas provenientes de malware para sistemas que no son comúnmente afectados por malware
  • Actualización de la lista de vulnerabilidades comúnes para alinearse con OWASP, NIST, SANS, etc. para ser incluidas en prácticas de desarrollo seguro de software
  • Consideraciones adicionales de seguridad para mecanismos de autenticación tales como tokens físicos, smart cards y certificados
  • Protección contra manipulación o sustitución de terminales TPV (POS) y otros dispositivos
  • Implementar una metodología para la ejecución de pruebas de penetración y ejecución de este tipo de pruebas para verificar que los métodos de segmentación son operacionales y efectivos
  • Mantener información acerca de los controles de PCI DSS gestionados por proveedores de servicio y por la entidad. Los proveedores de servicio deben reconocer y aceptar su responsabilidad en el mantenimiento de los controles de PCI DSS que les aplican

Cambios previstos en PA DSS v3.0

Entre los principales cambios previstos en PA DSS v3.0 se encuentran:
  • Mejoras en los requerimientos orientados a los procesos de desarrollo de sistemas incluyendo revisiones de seguridad periódicas, verificación de la integridad del código fuente, una metodología de gestión de versiones, uso de técnicas de aplicación orientadas a modelado de amenazas en aplicaciones (application threat-modeling techniques) y un proceso de autorización formal antes de la publicación (release) final.
  • Actualización de la lista de vulnerabilidades comúnes para alinearse con OWASP, NIST, SANS, etc. para ser incluidas en prácticas de desarrollo seguro de software
  • Nuevos requerimientos para vendedores de aplicaciones de pago para proveer “Release Notes” en todas las actualizaciones
  • Nuevos requerimientos para la formación y entrenamiento de integradores/distribuidores (integrators/resellers) y personal de ventas

Fechas clave en el despliegue de las normas:

  • 4 - 5 Sept - Preparing for PCI DSS and PA-DSS 3.0: Standards Change Highlights Webinar (general public)
  • Early Sept - Draft versions of standards shared with PCI community
  • Sept, Oct, Nov - Community Meetings - Standards Discussed
  • 7 Nov - Standards Published
  • 1 Jan 2014 - Standards Become Effective

El listado completo de todos los cambios previstos se puede encontrar en el documento “Version 3.0 Change Highlights“.
Descárgate el pdf

Referencias

http://www.pcihispano.com



Autor: David Eduardo Acosta - CISSP, CISA, CISM, PCI QSA, CCNA Security, OPST, CHFI Instructor, BS25999 Lead AuditorDepartamento de Consultoría