Artículo

Faltan 30 días para PCI DSS 3.2: Descubra los cambios que incorpora la nueva versión

Grabado:
3 enero 2018

 

 

Es muy probable que ya haya escuchado hablar sobre PCI DSS 3.2. La actualización al Estándar de Seguridad de Datos fue presentada en abril de 2016 y es considerada como una buena práctica de la industria desde la caducidad de la versión 3.1, en octubre de ese año. Sin embargo, por ahora la versión 3.2 no es obligatoria para las auditorías. De hecho, muchas organizaciones aún operan bajo los requerimientos de PCI DSS 3.1, y muchas otras directamente no se encuentran en cumplimiento.

Aquellas empresas que cumplen con PCI DSS 3.1, se considera que aún se encuentran en cumplimiento con PCI, pero solo durante los próximos 30 días. Por si todavía no está al tanto: la fecha límite para entrar en cumplimiento con la versión 3.2 es el 31 de enero de 2018.

¿Cómo se encuentra su empresa frente al cumplimiento de PCI? Tanto si su compañía cumple con la versión 3.1 como si todavía no cumple con todos los requisitos de la normativa, este es el momento para trabajar en su cumplimiento de PCI DSS 3.2.

Cuando la versión 3.2 entre en vigor el 1° de febrero de 2018, muchos de sus requisitos serán obligatorios para todos. Para ayudarlo a identificar los cambios aplicados en esta versión y determinar si afectan a su organización, preparamos el siguiente resumen con los nuevos requerimientos de la normativa.

Si quiere profundizar más acerca de PCI DSS, lo invitamos a ingresar a la Biblioteca de Documentos del Consejo de Éstandares de Seguridad de PCI.

 

Autenticación Multi-Factor

Antes, solo se requería la autenticación doble factor para el acceso remoto a entornos de titulares de tarjetas de crédito (CDEs). Esto se modifica en PCI DSS 3.2. La autenticación multi-factor ahora es obligatoria para todos los accesos administrativos a CDEs realizados por fuera de la consola, incluso si el individuo no está en remoto.

¿A quiénes afecta? A todos

¿Cuáles son los requerimientos? 8.3, 8.3.1, 8.3.2

¿A qué se debe el cambio? El Consejo de Estándares de Seguridad de PCI modificó el requisito de autenticación doble factor al de multi-factor, permitiendo a las organizaciones utilizar más de dos métodos de autenticación si así lo desean. Además, con la versión 3.2, declaran que es inaceptable utilizar un único factor de autenticación para ingresar a un CDE con un acceso fuera de una consola. Esto incluye cualquier acceso a CDE que ocurra dentro de redes de confianza.

¿Qué es lo que no incluye el requerimiento 8.3? Como explicó el CTO del Consejo de Estándares de Seguridad de PCI, Troy Leach, “[El requisito de autenticación multi-factor] no afectará la autenticación de la máquina en la que un sistema se esté comunicando con otro, ya que está destinado a la autenticación personal. Tampoco afectará a los administradores que accedan directamente desde la consola”.

 

Almacenamiento PAN

A partir de esta nueva versión, podrán mostrarse solo los primeros seis y los últimos cuatro dígitos del número PAN. El resto deben estar enmascarados. Si los empleados necesitan ver más que estos 10 dígitos aprobados, las organizaciones deberán listar quién ha solicitado el acceso y documentar sus razones.

El requisito 1.1 estipula que las organizaciones deben tener un diagrama de su flujo de datos de tarjetas de crédito. Si usted todavía no cuenta con uno, le sugerimos que lo haga, para conocer de dónde proviene y de dónde sale la información de tarjetas de crédito dentro de su compañía. Esto lo ayudará a determinar dónde puede almacenar los PANs desenmascarados.

¿A quiénes afecta? A todos

¿Cuál es el requerimiento? 3.3

¿A qué se debe el cambio? El enmascaramiento siempre fue requerido. Esta actualización al almacenamiento PAN solo clarifica que cualquier exhibición mayor a los primeros seis o últimos cuatro dígitos debe corresponder a una necesidad legítima del negocio. Es un intento para garantizar que los datos de los titulares de tarjetas de crédito estén encriptados y administrados de forma apropiada, en caso de que ocurra una filtración de datos. 

 

Nuevos procesos para proveedores de servicios

PCI DSS 3.2 incluye cinco nuevos requerimientos (y sub-requerimientos) para proveedores de servicios. Estos cambios obligan al proveedor a detectar y notificar a los clientes acerca de las fallas en sistemas de control de seguridad críticos, mantener la documentación en una arquitectura encriptada, realizar revisiones trimestrales para el personal de seguridad, y más.

¿A quiénes afecta? Proveedores de servicios y proveedores externos.

¿Cuáles son los requerimientos? 3.5.1, 10.8, 10.8.1, 11.3.4.1, 12.4, 12.11, 12.11.1

¿A qué se debe el cambio? El Consejo de Estándares de Seguridad de PCI identificó la necesidad de obtener una mejor rendición de cuentas por parte de los proveedores de servicios o proveedores externos. Estos nuevos procesos se implementaron para mantenerlos enfocados en la seguridad de los datos de tarjetas de crédito de sus clientes.

 

Controles de Seguridad para cambios en CDE

Si una organización realiza un cambio en su entorno de datos de titulares de tarjetas de crédito, PCI DSS 3.2 requiere establecer los controles de seguridad apropiados, inmediatamente después del cambio. Cualquier requerimiento de PCI DSS que esté afectado por el nuevo entorno debe ser verificado para asegurar que continúe en cumplimiento con todos los estándares de PCI DSS.

¿A quiénes afecta? A todos

¿Cuál es el requerimiento? 6.4.6

¿A qué se debe el cambio? Un reporte sobre el cumplimiento de PCI realizado en 2015 por Verizon reveló que el 29% de las empresas se mantiene en cumplimiento, incluso un año después de su validación. La version 3.2 espera mejorar ese porcentaje al asegurar que las organizaciones validen sus cambios en el CDE y mantengan su consistencia con las actualizaciones de los controles de seguridad.

Según afirmó Troy Leach en una entrevista sobre PCI DSS 3.2, "estos cambios también garantizan que las organizaciones vean a la seguridad como un proceso orgánico, un esfuerzo continuo que evoluciona con la empresa, y no como una evaluación anual para corregir su comportamiento”.

 

Migración de SSL y versiones iniciales de TLS

Todavía faltan algunos meses para la fecha límite para la migración de SSL y versiones iniciales de TLS. Sin embargo, si aún no lo ha hecho, recomendamos que comience a planificarlo ahora, ya que un cambio como este puede tomar tiempo y existen múltiples consideraciones a tener en cuenta.

PCI DSS 3.2 establece que todas las organizaciones que deben estar en cumplimiento con PCI tienen tiempo hasta el 30 de junio de 2018 para migrar de protocolos SSL y versiones iniciales de TLS a TLS 1.1 o versiones más avanzadas. Para quienes consideren migrar a TLS 1.1, el cambio es aceptable, pero el Consejo de Estándares de Seguirdad de PCI sugiere implementar una versión más actualizada, como TLS 1.2, pese a que no sea el mínimo requerido. En algunos casos, TLS 1.1 ya no es considerada como una opción potente para enfrentar las vulnerabilidades de protocolo actuales.

¿A quiénes afecta? A todos

¿Cuál es el requerimiento? Apéndice A2

¿A qué se debe el cambio? Los protocolos SSL y versiones iniciales de TLS han estado vigentes por más de una década. Debido a los cambios experimentados desde el momento en que fueron creados hasta ahora, y la constante evolución tecnológica, es necesario migrar a TLS 1.1 o versiones más actualizadas, para poder estar al día con las necesidades y las vulnerabilidades modernas y, al mismo tiempo, disminuir los riesgos que provienen de utilizar antiguos protocolos.

De acuerdo al Consejo de Estándares de Seguridad de PCI y NIST, “no existen fixes o parches que puedan reparar adecuadamente SSL o versiones iniciales de TLS. Es por eso que para las organizaciones es de suma importancia la actualización, lo más rápido posible, a una alternativa segura, y deshabilitar cualquier alternativa a los antiguos protocolos”. Cuanto antes pueda migrar, ya sea semanas o meses antes de la fecha límite, mejor estará preparada su empresa para manejar cualquier inconveniente repentino.

 

Conozca más

¿Desea conocer más sobre cumplimiento de PCI DSS o saber si su sistemas están preparados? Visite nuestro portal con más recursos sobre PCI DSS o solicite una evaluación de cumplimiento.