Aunque la norma PCI DSS no ha cambiado desde que se publicó la versión 3.2 esta incluía ciertos requerimientos que se contemplaron como "opcionales" o "deseables" hasta el 31 de enero de este año. Pasada esta fecha, esos requerimientos son obligatorios y, por tanto, cualquier empresa afectada por el cumplimiento de la norma, debe tenerlos implementados o estará incurriendo en incumplimientos. Es importante tener presente que el hecho de haber superado una Auditoría de Certificación del cumplimiento (ROC) o reportado el cumplimiento con un Cuestionario de Auto-Evaluación (SAQ) en una fecha anterior no exime del cumplimiento de esos controles hasta la fecha de la nueva evaluación, sino que deberá haber desarrollado la implementación de estos nuevos controles obligatorios desde el mismo 1 de febrero.
Estos requerimientos deberán ser validados en cualquier proceso de revisión de cumplimiento pasado el 1 de febrero. Algunos de ellos afectan a todo tipo de empresas y otros únicamente aplicarán a Proveedores de Servicio.
Los requerimientos que afectan a todos las empresas son los siguientes:
- Cambiar los procesos de cambio para confirmar que los requerimientos afectados de PCI DSS están adecuadamente implementados tras cambios significativos en el entorno de cumplimiento (Requerimiento 6.4.6).
- Implementar autenticación multi-factor para todos los accesos administrativos diferentes a la consola (Requerimiento 8.3.1).
Los requerimientos que afectan a Proveedores de Servicio son:
- Mantener documentada la descripción de la arquitectura criptográfica en uso (Requerimiento 3.5.1).
- Detectar y responder a fallos de sistemas de control de seguridad críticos (Requerimientos 10.8 y 10.8.1)
- Llevar a cabo test de intrusión a los controles de segmentación de red, al menos, cada seis meses (Requerimiento 11.3.4.1).
- Establecer un programa de cumplimiento formal de PCI DSS (Requerimiento 12.4.1).
- Llevar a cabo revisiones trimestrales para asegurar que se siguen las políticas y procedimientos de seguridad (Requerimientos 12.11 y 12.11.1).
Estos requerimientos de obligado cumplimiento pretenden, principalmente, reforzar los procesos de seguridad, su eficacia y la verificación de esta, además de incrementar la periodicidad de ciertos controles que lo confirman. Estas actividades son supervisadas en nuestros servicios de cumplimiento por el equipo de las Oficinas Técnicas de PCI DSS de Internet Security Auditors, garantizando que estos nuevos requerimientos se cumplen adecuadamente.
Autor: Daniel Fernández Bleda
CISM, CISA, CISSP, ISO27001 L.A., OPST/A, CHFI
Dpto. Comercial
Dpto. Comercial
