Blog / Cumplimiento PCI DSS /

PCI DSS v4 exige a los comercios con SAQ-A a realizar escaneos trimestrales ASV

PCI DSS v4 exige a los comercios con SAQ-A a realizar escaneos trimestrales ASV

Con la nueva versión de PCI DSS v4.0, algunos cambios de los que quizás no se ha hablado suficiente, se han producido con un impacto bastante grande, no tanto por su profundidad (por el hecho de tener que implementar ese control, que podría considerarse no muy complejo), pero sí por la amplitud del impacto de ese control en un conjunto enorme de empresas a nivel global.

Uno de esos “pequeños” cambios es, sin duda, el que se ha añadido en el SAQ-A y que, como es algo que realmente queda fuera de la propia norma, pero no exigido a los comercios con ese SAQ, impactará a una gran cantidad de comercios en cuyas páginas web redirigen en los procesos de pago a terceros.

Hasta la versión 3.2.1 (hay que anotar, que de una forma absurda desde el punto de vista de ciberseguridad) no era necesario realizar los escaneos trimestrales externos a realizar por un ASV por parte de todos los comercios cuyo reporte de cumplimiento fuera un SAQ-A. Para estos comercios, la razón tenía todo el sentido: ¿si yo estoy redirigiendo el proceso de pago a un tercero que se encarga de eso, por qué voy yo a tener que hacer escaneos de vulnerabilidades de mi sitio web?

Pero para cualquier experto en ciberseguridad esta interpretación tenía un defecto clave… ¿y si alguien vulnera el sitio web del comercio, altera el código de esa página web, redirecciona el proceso de pago a un sitio malicioso y, desde ese sitio malicioso (suplantando al tercero legítimo encargado del proceso) transfiere el control de pago al procesador de pagos, interceptando la información de pago y comprometiendo esos datos de pago?

Pues el PCI SSC, quizás más tarde de lo que era debido esperar, ha tenido en cuenta esa situación y ha reflejado que esa posibilidad “podría” ser mitigada realizando escaneos trimestrales de vulnerabilidades contando con un Approved Scanning Vendor (ASV) y exigiendo a los comercios con esa redirección que deben realizar sus análisis de vulnerabilidades como ya era exigido en otros SAQ.

Los requerimientos 11.3.2. y 11.3.2.1 son ahora parte de las responsabilidades de cumplimiento para los comercios con un reporte de tipo SAQ-A y aquellos que no los realicen deberán tener presente que estarán en incumplimiento con la norma.

 

Más información y referencias en los siguientes artículos:
https://docs-prv.pcisecuritystandards.org/Programs%20and%20Certification/Approved%20Scanning%20Vendor%20(ASV)/PCI%20SSC%20ASV%20Resource%20Guide.pdf

https://blog.pcisecuritystandards.org/pci-dss-v4-whats-new-with-self-assessment-questionnaires

cta-mas-info-nueva-version-pci-dss-blog-1

Suscríbete al Blog