Con la nueva versión de PCI DSS v4.0, algunos cambios de los que quizás no se ha hablado suficiente, se han producido con un impacto bastante grande, no tanto por su profundidad (por el hecho de tener que implementar ese control, que podría considerarse no muy complejo), pero sí por la amplitud del impacto de ese control en un conjunto enorme de empresas a nivel global.
Uno de esos “pequeños” cambios es, sin duda, el que se ha añadido en el SAQ-A y que, como es algo que realmente queda fuera de la propia norma, pero no exigido a los comercios con ese SAQ, impactará a una gran cantidad de comercios en cuyas páginas web redirigen en los procesos de pago a terceros.
Pero para cualquier experto en ciberseguridad esta interpretación tenía un defecto clave… ¿y si alguien vulnera el sitio web del comercio, altera el código de esa página web, redirecciona el proceso de pago a un sitio malicioso y, desde ese sitio malicioso (suplantando al tercero legítimo encargado del proceso) transfiere el control de pago al procesador de pagos, interceptando la información de pago y comprometiendo esos datos de pago?
Pues el PCI SSC, quizás más tarde de lo que era debido esperar, ha tenido en cuenta esa situación y ha reflejado que esa posibilidad “podría” ser mitigada realizando escaneos trimestrales de vulnerabilidades contando con un Approved Scanning Vendor (ASV) y exigiendo a los comercios con esa redirección que deben realizar sus análisis de vulnerabilidades como ya era exigido en otros SAQ.
Los requerimientos 11.3.2. y 11.3.2.1 son ahora parte de las responsabilidades de cumplimiento para los comercios con un reporte de tipo SAQ-A y aquellos que no los realicen deberán tener presente que estarán en incumplimiento con la norma.
Más información y referencias en los siguientes artículos:
https://docs-prv.pcisecuritystandards.org/Programs%20and%20Certification/Approved%20Scanning%20Vendor%20(ASV)/PCI%20SSC%20ASV%20Resource%20Guide.pdf
https://blog.pcisecuritystandards.org/pci-dss-v4-whats-new-with-self-assessment-questionnaires
