En el artículo publicado el 16 de enero de 2026 sobre las novedades del estándar, se señaló que la ventana de transición sería de 12 meses contados a partir de la publicación de la formación para evaluadores, pero que las fechas concretas aún no estaban disponibles. Ese vacío ha quedado resuelto.
Un período de coexistencia de 12 meses
El FAQ confirma que existirá un período de transición de 12 meses durante el cual tanto la versión 1.2.1 como la versión 2.0 serán válidas para efectos de evaluaciones y envíos al PCI SSC. Las reglas aplicables a cada versión son las siguientes:
Para evaluaciones bajo v1.2.1:
▪️Los envíos de evaluaciones completas (Full Assessment) serán aceptados hasta el
30 de abril de 2027.
▪️Dichos envíos deberán haber sido aprobados por el proceso de gestión de calidad (AQM)
del PCI SSC a más tardar el 31 de julio de 2027.
▪️Los productos que sean aceptados y listados bajo v1.2.1 contarán con un período de vigencia
en el listado de 3 años, siempre que se mantengan de conformidad con los requisitos
del programa.
▪️Durante este período se continuará usando el ROV v1.x y el AOV v1.x.
▪️Los productos ya listados bajo una versión 1.x seguirán utilizando sus ROV v1.x para la gestión
de cualquier cambio que les aplique.
Para evaluaciones bajo v2.0:
▪️Las evaluaciones bajo v2.0 estarán disponibles una vez que los evaluadores
(Secure Software Assessors) completen la formación de la nueva versión.
▪️A partir del 1 de mayo de 2027, v2.0 será obligatoria para todas las nuevas evaluaciones
completas de productos de software seguro validado.
▪️Se requerirá el uso del ROV v2.x, el AOV v2.x y la nueva plantilla Change Impact Template
para los cambios delta.
▪️Es importante destacar que la versión 2.0 no afecta las fechas de revalidación anual ni las
fechas de reevaluación de los productos ya listados bajo versiones 1.x del estándar.
¿Qué implica esto en la práctica?
Para los fabricantes que tienen productos actualmente validados bajo v1.2.1 o versiones anteriores, el mensaje es claro: sus obligaciones de revalidación anual y reevaluación periódica continúan sin cambios según el calendario ya establecido. No hay una fecha límite impuesta por la transición a v2.0 que obligue a migrar anticipadamente esos listados existentes.Sin embargo, para quienes estén iniciando un proceso de validación nuevo o planeen hacerlo, la recomendación es clara: optar directamente por v2.0. Aunque la versión 1.2.1 sigue siendo válida hasta el 30 de abril de 2027, el margen real para completar con éxito una evaluación bajo esa versión es cada vez más estrecho si se tienen en cuenta los tiempos típicos de un proceso de evaluación y la revisión por parte del PCI SSC. Iniciar hoy un proceso bajo v1.2.1 significa asumir el riesgo de no alcanzar las fechas límite, para terminar teniendo que migrar de todas formas.
Abordar directamente v2.0 no solo elimina ese riesgo, sino que posiciona al producto con una certificación vigente de tres años desde el momento del listado, alineada con el estado actual del estándar. Los cambios introducidos en esta versión —entre los que se destacan la identificación de activos sensibles, el SBOM, la MFA para operaciones sensibles y el nuevo módulo para SDKs— representan una oportunidad para fortalecer la postura de seguridad del producto, no únicamente un requisito de cumplimiento. Para los fabricantes que aún no han iniciado el análisis de brechas frente a estos nuevos controles, este es el momento de hacerlo.
