Recientemente, el PCI SSC ha publicado la versión 3.2.1 de su estándar de seguridad PCI DSS.
Dicha actualización menor comporta pocos cambios respeto a la versión 3.2, siendo los más destacados los siguientes:
- Requerimientos 2.2.3, 2.3 y 4.1: Se elimina la referencia al apéndice A2, relativo a la migración de SSL/versiones preliminares de TLS, ya que la fecha límite fijada para dicha migración ya se ha alcanzado.
- Requerimientos 3.5.1, 6.4.6, 8.3.1, 10.8, 10.8.1, 11.3.4.1, 12.4.1, 12.11 y 12.11.1: Se eliminan los comentarios relativos a la fecha límite para el cumplimiento de los mismos (1 de febrero de 2018), ya que dicha fecha ya se ha superado.
- Anexo A2: A partir de ahora, solo se permitirá la utilización de SSL/versiones preliminares de TLS en terminales de punto de venta en canales de venda físicos (POS-POI), que no sean susceptibles de ser afectados por exploits reconocidos.
Hasta el 1 de enero de 2019, pueden usarse para las evaluaciones PCI DSS tanto la versión 3.2 como la versión 3.2.1. A partir de ese día, la versión 3.2 será retirada, siendo obligatorio el uso de PCI DSS 3.2.1.
Para finalizar, deben tenerse en cuenta los siguientes aspectos, relativos a los cambios en PCI DSS que están por llegar:
- El próximo cambio mayor del estándar PCI DSS se prevé para el año 2020.
- Nuevas versiones de los documentos SAQ serán publicadas en junio de este año, que reflejarán los cambios introducidos en la versión 3.2.1 de PCI DSS. Además, se incluirá el requerimiento 6.2 en el SAQ A, cosa que obligará a los comercios a instalar los parches de seguridad críticos en un plazo máximo de 30 días des de su publicación.
Bibliografía
https://blog.pcisecuritystandards.org/pci-dss-now-and-looking-ahead
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf
https://www.pcisecuritystandards.org/documents/PCI_DSS_Summary_of_Changes_3-2-1.pdf
Autor:
Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona
Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona
