miércoles, 17 de junio de 2020

Novedades y actualizaciones de PCI DSS 4.0

El pasado día 29 de mayo, el PCI SSC actualizó en su blog la información relativa a la versión 4.0 del estándar PCI DSS.

La actualización de la información coincide con la revisión de los comentarios generados a raíz del ‘Request for Comments’ (RFC) que tuvo lugar entre octubre y diciembre del año pasado. Según indican, aún se encuentran revisando dichos comentarios. Como ya adelantaron el año pasado, habrá 2 rondas de RFC para la versión 4.0 del estándar, estando planeada la segunda a partir de septiembre u octubre del presente año.

De esta forma, también aprovechan para actualizar las fechas de lanzamiento de la versión 4 del estándar, planificándola para mitad del año 2021. Aunque la primera fecha que se indicó fue finales de 2020, ya se dijo que sería el mejor de los escenarios.



En la publicación del PCI SSC también se publican una serie de timelines para entender mejor los tiempos que debemos esperar en relación con PCI DSS 4.0:

Como vemos, sitúan la finalización del estándar para el segundo cuatrimestre de 2021, mientras que la actualización y publicación de los materiales adicionales (entre los que se incluye la actualización de los SAQ, RoC, glosario PCI DSS, etc.) se sitúa a finales del mismo 2021.

Ya sabemos cuál será la fecha de publicación, y para aquellos que ya llevamos tiempo trabajando con el estándar, sabemos que siempre hay un periodo de tiempo en el que conviven ambos estándares, así que ¿cuánto tiempo tendremos para implantar los nuevos controles en nuestros sistemas? ¿hasta cuándo se aceptarán certificaciones PCI DSS bajo la versión 3.2.1? En esta actualización, el PCI SSC también responde estas preguntas a través de otro timeline:


En esta ocasión, el Council de tarjetas ha decidido dar un margen de 18 meses desde la publicación del material adicional (que no la publicación de la versión 4.0) antes de retirar la versión 3.2.1, por lo que ambos estándares estarán publicados a la vez durante 2 años, y su periodo de convivencia (aceptando certificaciones en ambas versiones) será de 18 meses.

Como viene siendo habitual, el PCI SSC dará un margen de tiempo para implantar muchos de los nuevos controles de PCI DSS 4.0. Aún no se conoce la fecha exacta para la implantación de dichos controles, pero el Council dará tiempo suficiente a las organizaciones para que adopten dichos controles y, basado en la información del actual draft en el que están trabajando, este tiempo podría estar entre los dos años y medio y los 3 años de la publicación del estándar, por lo que, como se ve en la imagen, hablaríamos de principios del año 2024.

Las imágenes han sido extraídas del artículo original del PCI SSC, que podéis consultar en:
https://blog.pcisecuritystandards.org/pci-dss-v4-0-anticipated-timelines-and-latest-updates


Autor: Antonio Martínez - CISSP Instructor, CCSP, ISO 20000 L.A. ISO 27001 L.A. ISO 22301 L.A.
Dpto. Consultoría