Analytics

martes, 21 de febrero de 2017

Publicada la versión 1.1 de los documentos SAQ


 

El pasado 30 de enero, el PCI SSC publicó la versión 1.1 de los documentos SAQ para la PCI DSS v3.2, en los cuales se han producido los siguientes cambios:
  • SAQ A:
    • Clarificaciones generales y resolución de erratas.
    • Inclusión del campo “Before You Begin” en los requerimientos 2 y 8, para clarificar el porqué de su inclusión en el SAQ.
  • SAQ A-EP:
    • Clarificaciones generales y resolución de erratas.
  • SAQ B:
    • Actualización de la numeración de versión para alinearla con los otros documentos SAQ.
  • SAQ B-IP:
    • Clarificaciones generales y resolución de erratas.
    • Inclusión del campo “Before You Begin”, para aclarar que los comercios que utilicen terminales SCR (Secure Card Reader) no quedan bajo el ámbito de aplicación de dicho SAQ.
    • Inclusión del requerimiento 8.3.1, añadiendo la necesidad del uso de autenticación multi-factor (MFA) para todo acceso al CDE que no se realice por consola física.
    • Inclusión del requerimiento 11.3.4, añadiendo la necesidad de realización de tests de intrusión para verificar la segmentación del entorno, siempre que el comercio haga uso de dicha segmentación.
  • SAQ C:
    • Clarificaciones generales y resolución de erratas.
    • Inclusión del campo “Before You Begin”, para clarificar los sistemas permitidos bajo el alcance de dicho SAQ.
    • Resolución de erratas en los checkbox en los requerimientos 8.1.6 y 11.3.4.
  • SAQ C-VT:
    • Clarificaciones generales y resolución de erratas.
    • Inclusión del campo “Before You Begin”, para clarificar los sistemas permitidos bajo el alcance de dicho SAQ.
    • Inclusión del requerimiento 8.3.1, añadiendo la necesidad del uso de autenticación multi-factor (MFA) para todo acceso al CDE que no se realice por consola física.
    • Inclusión del requerimiento 11.3.4, añadiendo la necesidad de realización de pruebas de intrusión para verificar la segmentación del entorno, siempre que el comercio haga uso de dicha segmentación.
  • SAQ P2PE:
    • Actualización de la tabla de cambios del documento.
  • SAQ D Merchant:
    • Actualización de la numeración de versión para alinearla con los otros documentos SAQ.
  • SAQ D Service Provider:
    • Actualización de la numeración de versión para alinearla con los otros documentos SAQ.
Dichos documentos SAQ pasarán a ser de obligada aplicación el 1 de octubre de 2017, permitiendo un margen de tiempo a los comercios para la adaptación a los cambios comentados. Hasta dicha fecha, los comercios pueden seguir validando su cumplimiento con la versión anterior de los documentos SAQ.

Hay que observar que los cambios más destacables se producen en los SAQ B-IP y SAP C-VT, con la inclusión de los requerimientos 8.3.1 y 11.3.4, cosa que llevará a los comercios bajo el alcance de dichos documentos a la inclusión de cambios significativos en sus entornos de cumplimiento.

En Internet Security Auditors contamos con un equipo de expertos en las normativas del PCI SSC altamente cualificado, a la disposición de los comercios afectados para ayudarles en todas las tareas relacionadas con la adecuación a los nuevos documentos SAQ.

Referencias
https://www.pcisecuritystandards.org/document_library?category=saqs


Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.