Pagos electrónicos y el cambio de norma por venir

A partir del próximo primero de abril, entra vigencia un cambio en la normativa internacional que espera asegurar los pagos electrónicos.

Las transacciones digitales se han vuelto cada vez más vulnerables a ataques cibernéticos y fraudes. De allí la revisión de las condiciones legales. 

 

PCI DSS 4.0 es el nombre oficial de la normal global desarrollada en respuesta al crecimiento masivo de las transacciones en línea y la evolución de las tácticas de los actores de amenazas. 

¿Sabía usted que esta norma es obligatoria, global que entrará en vigencia el 1º de abril de 2024? En este sentido, hay que especificar que esta norma global obligatoria se aplica a cualquier organización que: 

• Almacene
• Procese 
• O transmita datos de titulares de tarjetas

Igualmente hay que destacar que, en consideración a los cambios que supone, la adopción completa y fecha límite de total complimiento de la PCI DSS 4.0 se ha estimado para el 31 de marzo de 2025. 

Es decir, desde este momento y hasta el 31 de marzo del próximo año, las empresas objeto de la norma deben efectuar todos los cambios necesarios para adecuarse a ella. 

Viviremos, entonces, un período de transición en lo que a los pagos electrónicos se refiere. Esperemos que sea transparente e imperceptible. 

Transición acelerada 

Han sido un proceso lento y constante el que llevo a los pagos electrónicos a ser, prácticamente, la forma de pago dominante en todo el mundo, 

Aunque en algunos paises y sectores sociales se siguen privilegiado el efectivo. Pero es un hecho que, a partir de la pandemia de Covid-19, hasta los más recalcitrantes conservadores saben que tener disponer de mecanisnos para hacer pagos electrónicos es una cuestión de supervivencia. 

Es por ello que garantizar la fluidez de las operaciones comerciales durante este proceso de transscisión desde la PCI DSS 3.2.1 hasta la PCI DSS 4.0 es fundamental. 

Hay que destacar que PCI 4.0 incluye: 

• Más de 60 nuevos requisitos
• SIEM es ahora obligatorio 
• Y existe una carga probatoria adicional para la documentación y los artefactos

Todo ello supone un gran esfuerzo para la mayoría de las empresas para atender los aspectos claves de esta transición. 

Estos aspectos claves de PCI DSS 4.0 sobre pagos electrónicos son:

Enfoque Definido y Personalizado

La versión 4.0 introduce el concepto de enfoque personalizado. El nismoib permite a las organizaciones implementar controles de seguridad de manera flexible, para cumplir con los objetivos establecidos. 

Este enfoque respalda la innovación en las prácticas de seguridad, brindando mayor flexibilidad a las organizaciones.

Autenticación

En la nueva normativa se implementan cambios notables en el proceso de autenticación e inicio de sesión. Esto incluye: 

• Un aumento en el número de intentos antes de bloquear la cuenta
• Mayor longitud de contraseñas
• Y la obligatoriedad de autenticación multifactor para todos los accesos al CDE

Gestión de Riesgos y Concienciación

La versión 4.0 introduce nuevos requisitos y modificaciones asociadas a la gestión de riesgos y concienciación en seguridad. 

Los mismos están respaldados por análisis de riesgos específicos y documentados.

Desarrollo Seguro, Monitorización y Gestión de Vulnerabilidades

PCI DSS 4.0 introduce requisitos más estrictos para pagos electrónicos en áreas como: 

• El desarrollo seguro
• La monitorización de activos 
• Y la gestión de vulnerabilidades 

Destacan la implementación de un WAF para aplicaciones web públicas y la utilización de herramientas automatizadas para la detección de ataques de phishing.

Encriptación

El proceso de adecuación a la nueva norma supone cambios en la encriptación. 

Estos incluyen la máscara del PAN mostrando solo el BIN y los últimos cuatro dígitos. 

También la obligatoriedad de utilizar hashes criptográficos con clave para hacer ilegible el PAN.

Apoyo en el proceso transicional

Como puede verse, son mi HPs e importantes las adecuaciones que deberán realizar las empresas para ajustarse a esa normativa. 

Es por ello que el equipo de QSA y consultores de GM Sectec cuenta con una formación completa, así como soluciones SaaS que proporcionan un camino fácil hacia el cumplimiento. 

En el caso de aquellas organizaciones que ya han cumplido con la certificación, ambas empresas resultan aliados para realizar la transición de PCI DSS 3.2.1 a la versión 4.0.

Para ello, GM Sectec ofrece cursos presenciales a lo largo del año sobre PCI DSS 4.0 Internal Security Assessor Training en América Latina y EE. UU.

Próximas Fechas y Ubicaciones:

• 7 y 8 de Marzo – Monterrey, México
• 18 y 19 de Junio – Barcelona, España
• 9 y 10 de Julio – CDMX, México
• 23 y 24 de Julio – Bogotá, Colombia

Para obtener más detalles sobre fechas, horarios y ubicaciones, visite el sitio web de GM Sectec www.gmsectec.com