BLOG

Cambios importantes en PCI DSS 4.0.1 que debe conocer

Miniatura de Udo Blücher
Udo Blücher
Publicado el 30 de julio de 2024

¿El Estándar de seguridad de datos de la Industria de Tarjetas de Pago (PCI DSS) v3.2.1 no expiró el 31 de marzo de 2024 y no fue reemplazado por PCI DSS v4.0?

Sí, y sí.

Pero para abordar los comentarios y preguntas recibidos después de la publicación de PCI DSS v4.0, el PCI Security Standards Council (PCI SSC) decidió publicar una revisión limitada del estándar: PCI DSS versión 4.0.1. (Cuando PCI DSS v4.0 se retire el 31 de diciembre de 2024, v4.0.1 se convertirá en el único estándar activo compatible con PCI DSS SC). 

Hay varios cambios importantes en PCI DSS v4.0.1 que debe conocer a medida que actualiza o amplía la seguridad y el cumplimiento de las transacciones. En aras de la brevedad, este blog cubrirá los cambios y actualizaciones que abordan las soluciones de seguridad de API y aplicação de F5. Puede encontrar una lista más completa de cambios en el sitio web de PCI SSC

Las actualizaciones más relevantes incluidas en PCI DSS v4.0.1 tienen como objetivo proporcionar aclaración sobre el alcance de los requisitos de seguridad del lado del cliente.

¿Quién es responsable de qué?

Requisito 6.4.3

Este requisito establece que todos los scripts de la página de pago que se cargan y ejecutan en el navegador del consumidor deben gestionarse de la siguiente manera:

  • Se implementa un método para confirmar que cada script esté autorizado.
  • Se implementa un método para asegurar la integridad de cada script.
  • Se mantiene un inventario de todos los scripts con una justificación comercial o técnica escrita que explica por qué cada uno es necesario.

Normalmente, los comerciantes dependen de proveedores de servicios de pago o proveedores de servicios externos (PSP o TPSP) para el procesamiento de pagos, lo que determina el método por el cual un consumidor paga los bienes o servicios que adquiere. Este requisito de PCI generó confusión relacionada con el modelo de responsabilidad que rige los escenarios en los que los comerciantes utilizan marcos en línea (iframes) PSP/TPSP que contienen la página de pago. Un iframe es esencialmente una pequeña página web diseñada para una funcionalidad específica. También se pueden ejecutar scripts en él, lo que hace que el iframe sea susceptible a los mismos riesgos que las páginas web principales. Por lo tanto, ¿los iframes deben seguir los mismos requisitos PCI que las páginas principales?

La actualización v4.0.1 aclara que los comerciantes son responsables del script que se ejecuta solo en su propia página (la página principal) y no de los que se ejecutan en iframes PSP/TPSP.

Mejores prácticas: Es responsabilidad del comerciante trabajar con el proveedor de páginas iframes PSP/TPSP para garantizar que cumplan con las normas y sean seguras. Si el comerciante no cumple con este requisito, se enfrenta al problema del fraude de pago, lo que genera pérdidas comerciales y un escrutinio intenso por parte de PCI.

Requisito 11.6.1

Se incluyeron aclaraciones similares en torno al requisito 11.6.1, con énfasis en el sistema que afecta la seguridad de los encabezados y scripts HTTP recibidos por el navegador del consumidor. Este es un cambio importante, ya que PCI deja en claro que se centra en los riesgos asociados con este requisito, en lugar de exigir una protección más amplia para incidentes de encabezados y scripts HTTP no relacionados con la seguridad.

También hay actualizaciones con respecto al modelo de responsabilidad de los iframes integrados en PSP/TPSP, aclarando que el comerciante solo es responsable de la página web principal y el proveedor de PSP/TPSP es responsable de los encabezados y scripts HTTP que afectan la seguridad y que se representan en sus iframes.

 

El tiempo avanza

A menos de nueve meses de la fecha límite de marzo de 2025 para implementar los nuevos requisitos, las organizaciones necesitan abordar todas las complejidades relacionadas con los cambios propuestos y el cumplimiento de PCI DSS v4.0.1.

 

F5 y PCI DSS v4.0.1

F5 Distributed Cloud Web App and API Protection (WAAP) , Distributed Cloud Bot Defense , Distributed Cloud Client-Side Defense y Mobile App Security Suite de F5 Distributed Cloud Services forman la base para proteger toda la transacción de empresa a consumidor. Para los scripts del lado del cliente, Distributed Cloud Client-Side Defense puede proporcionar visibilidad y control para permitir el cumplimiento. F5 Distributed Cloud Services actualmente cumple con PCI DSS v4.0 y se somete a auditorías de cumplimiento con una empresa de auditoría aprobada de forma programada. Las organizaciones deben cumplir con PCI DSS v4.0.1 antes del 1 de enero de 2025, y los cuestionarios de autoevaluación deben actualizarse para reflejar esto.

Por último, pero no por ello menos importante, las organizaciones sujetas a los requisitos de PCI DSS pueden esperar cambios en la siguiente documentación en los próximos trimestres del calendario: 

  • Cuestionarios de autoevaluación (SAQ)
  • Informe de Cumplimiento (ROC)
  • Certificaciones de cumplimiento (AOC)

Mejores prácticas: Consulte https://blog.pcisecuritystandards.org para obtener actualizaciones o revisiones de los estándares y converse con su auditor de PCI DSS para asegurarse de que su organización esté encaminada para cumplir con los requisitos de PCI DSS.

Para obtener más información, visite f5.com/products/distributed-cloud-services .