Publicada la versión 3.2 del estándar PCI DSS

El pasado 28 de Abril salió a la luz la versión 3.2 del estándar de seguridad PCI DSS, siendo algunos de los cambios más destacados de ésta los siguientes:

• Se añade el requerimiento 6.4.6, en el que especifica que cada vez que se realice un cambio significativo en el entorno de cumplimiento, se deberá garantizar la correcta aplicación de todos los requerimientos PCI DSS afectados a los nuevos elementos introducidos, así como la actualización de toda la documentación existente en el entorno que dependa de dicho cambio (diagramas de red, guías de configuración y bastionado, procedimientos operativos, etc.).
• Se expande el requerimiento 8.3, con los subrequerimientos 8.3.1 y 8.3.2, que especifican que todos los accesos administrativos realizados en el entorno de cumplimiento se deberán realizar con una autenticación multi-factor (más de un factor de autenticación), incluso los realizados desde redes internas de la entidad. Además, y como en la versión anterior del estándar, todos los accesos remotos de usuarios al entorno de cumplimiento también deberán realizarse con una autenticación multi-factor.

Además, existen también algunos cambios destacados que aplican solo a Proveedores de Servicio:

• Se añade el nuevo requerimiento 3.5.1, que especifica que se deberá mantener documentación formal sobre la arquitectura de cifrado de datos existente, de manera que se detalle:
• Los algoritmos, protocolos y claves utilizadas para la protección de los datos de tarjeta, incluyendo la robustez de los mismos y los criptoperiodos aplicables.
• Los usos autorizados para cada una de las claves de cifrado.
• Inventarios de dispositivos utilizados para la gestión de las claves de cifrado, como HSM’s (Hardware Security Module) o SCD’s (Secure Cryptographic Devices).
• Se añaden los requerimientos 10.8 y 10.8.1, que especifican que se deben implementar y mantener procesos operativos para la detección y respuesta ante fallos en los sistemas de seguridad críticos en el CDE (Cardholder Data Environment), como los siguientes:
• Firewalls
• IDS/IPS
• FIM
• Antivirus
• Controles de acceso físicos & lógicos
• Mecanismos de registro de actividades (logs)
• Controles de segmentación
• Se añade el requerimiento 11.3.4.1, que indica que los proveedores de servicio deberán realizar Tests de Intrusión para validar  los controles de segmentación del entorno cada 6 meses, así como después de cada cambio realizado en los controles de segmentación existentes.
• Se añade el requerimiento 12.4.1, que especifica que se deberán establecer las responsabilidades para asegurar el mantenimiento continuo del estándar PCI DSS, así como la necesidad de notificar de manera formal a la gerencia los elementos más destacados de los programas de cumplimiento del estándar vigentes, para garantizar un conocimiento y apoyo continuo por su parte.
• Se añaden los requerimientos 12.11 y 12.11.1, que indican que se deberán realizar revisiones trimestrales para asegurar que el personal de la entidad está cumpliendo las políticas de seguridad y procedimientos operativos internos relacionados con el estándar PCI DSS, y documentar los resultados de dichas revisiones.

Todos los nuevos requerimientos introducidos en la versión 3.2 del estándar y que han sido comentadas anteriormente son buenas prácticas hasta el 31 de Enero del 2018, fecha en la cual pasarán a ser de obligada aplicación.

Además, se ha añadido también una clarificación importante en el requerimiento 6.5, que especifica que los desarrolladores implicados en el entorno de cumplimiento deberán recibir formaciones en desarrollo seguro de manera como mínimo anual. Dicha aclaración será de obligada aplicación des de que la versión anterior del estándar (3.1) deje de ser vigente, el 31 de Octubre de 2016.

También se han añadido dos nuevos anexos en el estándar:

• Anexo A2 Requerimientos adicionales para entidades que utilicen SSL/TLS v1.0:
• Todos los Proveedores de Servicio deberán utilizar versiones iguales o superiores a TLS v1.1 para cifrar las comunicaciones de datos de tarjeta por redes públicas antes del 30 de Junio de 2016 (siendo los requerimientos afectados el 2.2.3, 2.3 y 4.1).
• El resto de entidades (comercios), deberán utilizar versiones iguales o superiores a TLS v1.1 para cifrar las comunicaciones de datos de tarjeta por redes públicas antes del 30 de Junio de 2018 (siendo los requerimientos afectados el 2.2.3, 2.3 y 4.1).
• Anexo A3 “Designated Entities Supplemental Validation” (DESV): Anexo que introduce las pautas del documento PCI SSC DESV, y que aplica a entidades consideradas por los adquirientes como de alto riesgo (entidades donde ha habido fugas de datos previas, entidades con un alto volumen de transacciones con datos de tarjeta, etc). El objetivo de dicho anexo es garantizar que dichas entidades estarán sujetas a un cumplimiento continuo del estándar de seguridad PCI DSS, introduciendo nuevos requerimientos que aseguren que la entidad  va a dedicar unos esfuerzos adecuados para tal efecto.

Por último, hay que tener en cuenta que la versión 3.2 del estándar ha venido acompañada de la publicación de los siguientes documentos asociados:

• Report on Compliance (RoC) adaptado.
• Self-Assesment Questionnaires (SAQ’s) adaptados.
• Attestation of Compliance (AoC’s) adaptados.
• PCI DSS Summary of Changes
• Glossary of Terms, Abbreviations, and Acronyms
• PCI DSS Resource Guide

Referencias
https://es.pcisecuritystandards.org/document_library
http://blog.pcisecuritystandards.org/
http://training.pcisecuritystandards.org/pci-dss-3.2-overview-webinar

---

Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.