Versión 4.0 de PCI DSS. Analizando los requisitos 7, 8 y 9

El estándar PCI DSS, en su versión 4.0, ha experimentado una serie de cambios significativos en los requisitos clave, específicamente en los Requisitos 7, 8 y 9, que se centran en la autorización y gestión de privilegios, la identificación y autenticación de usuarios, sistemas y aplicaciones, y la seguridad física de los datos de titulares de tarjetas.

Aquí, desglosamos estos cambios para comprender su alcance y relevancia.

Requisito 7: Restrict Access to System Components and Cardholder Data by Business Need to Know

El Requisito 7 se centra en los criterios para la autorización y la gestión de privilegios. Es decir, establece pautas y prácticas relacionadas con quién tiene acceso a los sistemas y datos de tarjetas de pago, y cómo se gestionan esos accesos.

El primer cambio lo tenemos en el nombre del propio requisito, cuyo nombre en la versión 3.2.1 era "Restrict Access to cardholder data by business need to know". El título del requisito se ha modificado para incluir tanto los componentes del sistema como los datos de tarjetas.

A continuación, se detallan los cambios efectuados en la última actualización:

• Se ha sustituido el antiguo requisito 7.1, que previamente definía las políticas y procedimientos documentados para la gestión de contraseñas. En su lugar, se han introducido diversas pruebas para evaluar las políticas y procedimientos de cada requisito relacionado. Algunos de estos requisitos son los siguientes:
• 7.2.1. Definición de un modelo de control de acceso: Este requisito establece un modelo de control de acceso que debe comprender los recursos a proteger, las funciones que necesitan acceso a dichos recursos y las actividades a llevar a cabo durante el acceso a las tecnologías de la entidad. El objetivo principal es prevenir el fraude y el uso inapropiado o el robo de recursos.
• 7.2.2. Asignación de acceso a los usuarios: En este requisito se define el derecho de acceso, el cual debe ser mínimo para evitar cambios en la configuración, ya sea de forma consciente o accidental. Se sugiere como buena práctica el uso de la Gestión de Acceso Privilegiado (PAM) para otorgar acceso según los roles predefinidos.
• 7.2.3. Los privilegios requeridos son aprobados: Este requisito detalla el proceso de aprobación de los privilegios solicitados. La aprobación debe estar debidamente documentada para garantizar que el acceso sea solicitado por personal autorizado y que la autorización provenga de la dirección o el responsable adecuado.
  
  
• El antiguo requisito 7.2 ha sido sustituido por completo, el cual anteriormente establecía un sistema de control de acceso para los componentes del sistema. En la nueva versión se engloba en la definición y asignación adecuada del acceso a los componentes y datos del sistema. 

Se han añadido cinco nuevos requisitos:

• 7.1.2. Definición de roles y responsabilidades: Este requisito implica la documentación y asignación de roles y responsabilidades, que pueden estar incluidos en políticas y procedimientos o en un documento separado, como una matriz de asignación de responsabilidades (Matriz RACI). Este requisito entra en vigor de inmediato para todas las evaluaciones de la versión 4.0.
• 7.2.6. Restricción de acceso a las bases de datos de los titulares de las tarjetas: El antiguo requisito 8.7 se ha trasladado a este nuevo lugar, ya que se adapta mejor al contenido del Requisito 7.
  El acceso a dicha base de datos debe realizarse a través de aplicaciones u otros métodos que limiten las acciones que los usuarios pueden llevar a cabo, basándose en sus roles y privilegios mínimos; solo los administradores autorizados pueden acceder directamente a la base de datos o consultar la información relacionada con los datos de los titulares de tarjetas almacenados en ella.

Los siguientes requisitos se consideran prácticas recomendadas hasta el 31 de marzo de 2025:

• 7.2.4. Revisión de todas las cuentas de usuarios y privilegios de acceso: Este requisito requiere la revisión semestral de todas las cuentas de usuario, incluyendo las cuentas de terceros/proveedores y los privilegios de acceso correspondientes. Esto asegura que los accesos sean apropiados según las funciones de trabajo y aborda cualquier acceso inadecuado.
• 7.2.5. Asignación y administración de todas las aplicaciones y cuentas del sistema: En este requisito se establece la asignación y gestión adecuada de todas las cuentas de aplicaciones y sistemas, así como los privilegios de acceso correspondientes, basándose en los privilegios mínimos necesarios para el funcionamiento del sistema o aplicación.
• 7.2.5.1. Revisión de todas las aplicaciones y cuentas del sistema: Este requisito establece la revisión periódica de todos los accesos por aplicación y cuentas de sistema, así como los privilegios de acceso relacionados. Esto garantiza que el acceso a la aplicación/sistema siga siendo apropiado para la función que se está desempeñando y aborda cualquier acceso inadecuado.

Requisito 8: Identify Users and Authenticate Access to System Components

El Requisito 8 del estándar PCI DSS establece los lineamientos para la identificación y autenticación de usuarios, así como de sistemas y aplicaciones.

A continuación, se detallan los cambios efectuados:

• Nuevos Requisitos Añadidos:
• 8.1.2.  Definición de roles y responsabilidades: Este nuevo requisito involucra la documentación y asignación de roles y responsabilidades. Estos roles y responsabilidades pueden quedar plasmados en políticas y procedimientos o en un documento independiente, como una matriz de asignación de responsabilidades (Matriz RACI). Este requisito entra en vigor de inmediato para todas las evaluaciones de la versión 4.0.
• 8.3.6. Política de contraseñas: Este requisito reemplaza al antiguo 8.2.3. Ahora, la longitud mínima de las contraseñas se ha incrementado de 7 a 12 caracteres. Además, se exige que las contraseñas contengan tanto caracteres numéricos como alfabéticos.
• 8.3.10.1. Requisito para proveedores de servicio. Uso de contraseñas/frases de paso como único factor de autenticación: Este requisito se aplica a los proveedores de servicio y establece que, si la contraseña es el único método de autenticación para el acceso del usuario del cliente a los datos del titular de tarjeta, se deben proporcionar directrices sobre cuándo y con qué frecuencia se deben cambiar las contraseñas.
• Prácticas Recomendadas hasta el 31 de marzo de 2025:
• 8.4.2. Implementación de MFA para todos los accesos al CDE: Se recomienda la implementación del uso de la Autenticación de Factor Múltiple (MFA) para todos los accesos al Entorno de Datos del Titular (CDE).
• 8.5.1. Configuración de MFA para todos los accesos al CDE: Este requisito especifica cómo debe utilizarse la MFA. Se establece que no debe ser susceptible a ataques de repetición y que no se pueden omitir factores a menos que se documenten y autoricen adecuadamente por la administración en circunstancias excepcionales y por un período limitado de tiempo. Además, no se debe otorgar acceso hasta que todos los factores sean exitosos.
• 8.6.1. Uso de sesiones interactivas en los sistemas o aplicaciones: Este requisito se enfoca en el uso de sesiones interactivas en sistemas o aplicaciones. Se debe limitar el acceso interactivo, a menos que sea excepcional, y debe limitarse al tiempo necesario para esa circunstancia excepcional. Se exige que la justificación de negocio esté debidamente documentada y que la identidad del usuario se confirme antes de conceder el acceso.
• 8.6.2. Almacenamiento de contraseñas para el uso de sesiones interactivas: En este requisito se prohíbe que las contraseñas utilizadas para inicios de sesión interactivos se almacenen en scripts, archivos de configuración o código fuente.
• 8.6.3. Protección de las contraseñas de sistemas o aplicaciones: Se especifica que las contraseñas para cuentas de aplicaciones y sistemas deben cambiarse periódicamente para evitar la exposición y deben cumplir con ciertos estándares de complejidad.
• Cambios a Requisitos Existentes

Es importante destacar que se ha aclarado que estos requisitos no aplican a las cuentas de usuarios de terminales de punto de venta utilizados exclusivamente para procesar una única transacción con acceso a un número limitado de tarjetas simultáneamente.

• 8.2.1. Asignación de un ID único: Este requisito reemplaza al antiguo 8.1.1.
• 8.2.2. Uso de cuentas grupales, compartidas o genéricas: Sustituye al antiguo 8.5 y cambia su enfoque para permitir el uso excepcional de credenciales compartidas.
• 8.2.3. Requisito para proveedores de servicio. Uso de factores de autenticación únicos para las instalaciones del cliente: Reemplaza al antiguo 8.5.1.
• 8.2.8. Bloqueo de sesión tras 15 minutos de inactividad: Sustituye al antiguo 8.1.8.
• 8.3.1. Autenticación de usuarios mediante los diferentes métodos: Sustituye al antiguo 8.2.
• 8.3.4. Limitación de intentos de autenticación inválidos: Fusiona los antiguos 8.1.6 y 8.1.7. El bloqueo de ID se aumenta a 10 intentos y el tiempo de bloqueo se mantiene en 30 minutos o hasta que se confirme la identidad del usuario.
• 8.3.5. Cambio de las contraseñas/frases de paso después del primer uso: Reemplaza al antiguo 8.2.6 y se especifica que aplica cuando se utilizan contraseñas o frases de paso como factor de autenticación para cumplir con el Requisito 8.3.1.
• 8.3.7. Limitación del uso de las contraseñas antiguas: Sustituye al antiguo 8.2.5.
• 8.3.8. Documentar y comunicar, a los usuarios, las políticas y procedimientos de autenticación: Reemplaza al antiguo 8.4.
• 8.3.9. Cambio de contraseñas cada 90 días o de manera automática: Sustituye al antiguo 8.2.4. Además, se aclara que aplica solo cuando se utilizan contraseñas o frases de paso como único factor de autenticación. También se agrega la opción de determinar el acceso a recursos de forma automática mediante el análisis dinámico de la postura de seguridad de las cuentas, lo que permite evitar el cambio de contraseña cada 90 días.
• 8.3.10. Requisito para proveedores de servicio. Orientación al cambio de contraseñas cuando es el único método de acceso: Sustituye al antiguo 8.2.4.b. Además, su validez se extiende hasta que entre en vigor el Requisito 8.3.10.1.
• 8.3.11. Asignación de factores de autenticación: Reemplaza al antiguo 8.6.

Requisito 9: Restrict Physical Access to Cardholder Data

Este requisito se dedica a la protección física de las áreas sensibles, el entorno de datos de titulares de tarjetas (CDE) y las instalaciones.

Las actualizaciones y cambios clave incluyen:

• 9.1.2. Definición de roles y responsabilidades: Documentación y asignación de roles y responsabilidades.
• 9.5.1.2.1. Inspección de dispositivos POI: Especifica la frecuencia de inspecciones de dispositivos Punto de Interacción (POI) basada en análisis de riesgo.
• 9.2.4. Bloque de acceso a consolas en áreas sensibles cuando no se usan: Este nuevo requisito sustituye al antiguo 9.1 y se enfoca en bloquear el acceso a las consolas en áreas sensibles cuando no están en uso, lo que mejora la seguridad en estas zonas críticas.
• 9.3.1. y 9.3.2: Estos requisitos desglosan lo que anteriormente se conocía como 9.2. 
• El 9.3.1. requiere la implementación de procedimientos para autorizar y administrar el acceso físico del personal al CDE. 
• El 9.3.2, por su parte, se centra en la autorización y gestión del acceso físico de visitantes al CDE. Estas divisiones permiten un enfoque más preciso y adaptado a las necesidades específicas de seguridad.
• 9.4.1. Protección física de todos los medios que contienen datos de tarjeta: Este nuevo requisito toma el lugar del antiguo 9.5, que se centraba en asegurar físicamente los medios de almacenamiento. El requisito 9.4.1 se enfoca en el bloqueo de consolas en áreas sensibles cuando no están en uso, lo que contribuye a la seguridad de estos dispositivos.
• 9.4.1.1 y 9.4.1.2. Copias de seguridad y protección de dichas copias: Estos requisitos desglosan lo que antes se conocía como 9.5.1. Se refieren al almacenamiento de copias de seguridad en una ubicación segura y a la revisión de la seguridad de esa ubicación sin conexión, al menos una vez cada 12 meses. Estos detalles operativos mejoran la gestión de copias de seguridad y garantizan su integridad.
• 9.4.2, 9.4.3 y 9.4.4. Clasificación y difusión de datos de titulares de tarjetas: Reemplazan al antiguo 9.6, 9.6.1, 9.6.2 y 9.6.3. Eliminan el requisito 9.6 y fusionan los procedimientos de distribución interna y externa de medios de almacenamiento en estos requisitos relacionados, lo que simplifica y clarifica el cumplimiento.
• 9.4.5 y 9.4.5.1. Inventario y revisión de inventario de dispositivos electrónicos: Sustituyen a los antiguos 9.7 y 9.7.1. Eliminan el requisito 9.7 y combinan los procedimientos de control estricto sobre el almacenamiento y accesibilidad de los medios de almacenamiento en estos nuevos requisitos, lo que mejora la eficiencia.
• 9.4.6 y 9.4.7. Destrucción de medios: Sustituyen a los antiguos 9.8, 9.8.1 y 9.8.2. Eliminan el requisito 9.8 y fusionan los procedimientos de destrucción de medios de almacenamiento cuando ya no son necesarios en estos requisitos relacionados. Además, se aclara que la destrucción de medios de almacenamiento se puede lograr mediante la destrucción de soportes o la imposibilidad de recuperar los datos de titulares de tarjetas.
• 9.5.1. Administración de dispositivos POI: Sustituye al antiguo 9.9. Este nuevo requisito se enfoca en la protección de dispositivos Punto de Interacción (POI) contra la manipulación y sustitución no autorizada. Requiere mantener una lista actualizada de estos dispositivos, inspeccionarlos periódicamente y proporcionar capacitación al personal para detectar y abordar comportamientos sospechosos.

Conclusiones

En resumen, las actualizaciones y modificaciones introducidas en los Requisitos 7, 8 y 9 del estándar PCI DSS 4.0 representan un esfuerzo por fortalecer la seguridad de los datos de tarjetas y mejorar el control de acceso físico y lógico en las organizaciones que manejan información de tarjetas de pago. Estas actualizaciones se centran en optimizar las prácticas de seguridad y adaptarse a las cambiantes amenazas cibernéticas. A continuación, se presentan algunas conclusiones clave:

• Se han realizado cambios importantes, como la eliminación del antiguo Requisito 7.1 y la adición de nuevos requisitos y pruebas.
• Los nuevos requisitos se enfocan en la gestión de privilegios, control de acceso y revisión de roles y responsabilidades.
• Estas actualizaciones buscan prevenir fraudes y usos inapropiados de recursos, así como mejorar la seguridad en el acceso a datos de tarjetas.
• Se han introducido requisitos y prácticas recomendadas que abordan la identificación y autenticación de usuarios y sistemas.
• Se han establecido pautas más estrictas para contraseñas, incluyendo una longitud mínima de 12 caracteres y la combinación de caracteres alfabéticos y numéricos.
• Se han introducido nuevos requisitos para autorización y gestión de acceso físico, así como para la protección de dispositivos POI.
• Se han fusionado y simplificado los procedimientos relacionados con copias de seguridad, distribución de medios de almacenamiento y destrucción de medios obsoletos.

En general, estas actualizaciones buscan mejorar la seguridad y la protección de datos de tarjetas en un entorno de amenazas en constante evolución. Las organizaciones que manejan información de tarjetas de pago deben prestar atención a estas actualizaciones y asegurarse de que sus políticas y procedimientos estén alineados con los nuevos requisitos para garantizar la seguridad de los datos de sus clientes y cumplir con el estándar PCI DSS 4.0.

En el siguiente artículo se analizarán los cambios en los requisitos 10 y 11 del estándar.

Bibliografía

• Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures, Versión 3.2.1, mayo 2018.
• Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures, Versión 4.0, marzo 2022.
• Payment Card Industry (PCI) Data Security Standard, Summary of Changes from PCI DSS Version 3.2.1 to 4.0, diciembre 2022.

Autora: Gabriela Stefania Córdova
Dpto. Consultoría