El estándar PCI DSS, en su versión 4.0, ha experimentado una serie de cambios significativos en los requisitos clave, específicamente en los Requisitos 7, 8 y 9, que se centran en la autorización y gestión de privilegios, la identificación y autenticación de usuarios, sistemas y aplicaciones, y la seguridad física de los datos de titulares de tarjetas.
Aquí, desglosamos estos cambios para comprender su alcance y relevancia.
Requisito 7: Restrict Access to System Components and Cardholder Data by Business Need to Know
El Requisito 7 se centra en los criterios para la autorización y la gestión de privilegios. Es decir, establece pautas y prácticas relacionadas con quién tiene acceso a los sistemas y datos de tarjetas de pago, y cómo se gestionan esos accesos.
El primer cambio lo tenemos en el nombre del propio requisito, cuyo nombre en la versión 3.2.1 era "Restrict Access to cardholder data by business need to know". El título del requisito se ha modificado para incluir tanto los componentes del sistema como los datos de tarjetas.