Actualización 4.0 de la Norma PCI DSS

Esto debido a que muchas organizaciones que hacen uso de puntos de venta y del comercio electrónico deben lidiar continuamente con amenazas externas e internas (organizaciones criminales y ciberdelincuentes) que buscan extraer los datos personales de los titulares de las tarjetas. Aunado a esto, los avances tecnológicos y los cambios en la industria de pagos también motivan las actualizaciones constantes de este estándar que también puede ser considerado como una normatividad.

El último ajuste (a la versión 3.2.1) que había recibido esta norma, ocurrió durante 2018. No obstante, en los últimos años, el uso de alternativas tecnológicas de optimización de infraestructura, como la nube, han agregado nuevos desafíos a la protección de la información de los tarjetahabientes.

Derivado de esto, en marzo de 2022, el Payment Card Industry Security Standards Council (PCI SSC) decidió actualizar el estándar PCI DSS a la versión 4.0, teniendo como principales objetivos los siguientes:

• Asegurarse de que los estándares continúen cumpliendo con las necesidades de seguridad de la industria de los pagos
• Obtener una mayor flexibilidad para poder admitir diferentes metodologías utilizadas para confirmar la seguridad en los pagos
• Promover la seguridad como un proceso continuo para los tarjetahabientes
• Mejorar los métodos de validación de los procedimientos relacionados con la seguridad

Es importante señalar que la versión 3.2.1, conservará su vigencia hasta el 31 de marzo de 2024. Por lo tanto, si una organización pretende mantener el uso de dicha versión, puede hacerlo hasta esta fecha, pero deberá prepararse y adecuarse para el nuevo estándar.

En consecuencia, durante el periodo de transición a la actualización 4.0 se mantendrán dos versiones activas de la norma PCI DSS durante el 2023 y 2024. El objetivo de este lapso es permitir a los negocios crear una estrategia para adaptarse a estas mejores prácticas del estándar y planificar cualquier implementación de controles que se necesite, hasta que la versión 4.0 sea la única vigente.

También es importante decir que, una vez retirada la versión 3.2.1, habrá un periodo de adaptación a la 4.0, por lo que estas mejores prácticas tendrían vigencia hasta el 31 de marzo del 2025, ya que al día siguiente, el 1 de abril del 2025, las mejores prácticas se convertirán en requisitos que deben cumplir las organizaciones. Recordemos que la PCI DSS es un estándar global aplicable a los diferentes comercios y/o proveedores de todo el mundo, por lo que en esa fecha se homologará nuevamente el estándar de seguridad.

En Mazars, podemos ayudarle con una variedad de servicios de cumplimiento de la Norma PCI. Contáctenos y encontraremos una alternativa para usted y su negocio.

Si le interesa conocer más sobre este tema, le invitamos a ver nuestro webinar “PCI DSS: Principios y actualizaciones para los negocios”, con la participación de Enrique Romero, socio líder de Consultoría de Mazars en México; Abner Baltazar, gerente senior de Consultoría de Mazars en México; Jacob Ansari, director y líder nacional de Prácticas de PCI de Mazars en Estados Unidos; y Alan Gutierrez Arana, socio líder de Cumplimiento de Ciberseguridad de Datos Sensibles en Mazars en Estados Unidos.