El 31 de marzo de 2025, los nuevos requisitos de PCI 4.0 entran en vigencia. Estos requisitos fueron fechados en el futuro para permitir a las organizaciones la capacidad de prepararse para la adopción.
Desde el Guía de diseño minorista PCI 2.0 fue publicado por Cisco en 2011, no ha habido una actualización tan grande como PCI 4.0. Esta actualización tiene una serie de cambios y, como tal, se ha eliminado en más de 2 fases, a partir de 2024. En basic, los principios de la guía de diseño minorista Cisco 2.0 existente son consistentes, con un fortalecimiento de los requisitos y la adición de nuevas tecnologías más nuevas. Por lo tanto, utilizaremos esto como el marco 2.0 existente como línea de base para discutir nuevos requisitos en PCI 4.0. Para una descripción completa de los requisitos del PCI DSS, así como las herramientas para cumplirlos, Este weblog proporciona un poco más de profundidad.
¿Qué hay de nuevo en PCI 4.0?
Nuevos requisitos de seguridad
La necesidad de autenticación ubicua de issue múltiple es un gran cambio. También hay un fortalecimiento generalizado de los requisitos de autenticación y contraseña, y se agregan nuevos requisitos de comercio electrónico y phishing a la guía de PCI.
Si bien no es exhaustivo, a continuación se muestran algunos requisitos nuevos agregados al PCI DSS 4.0.0 y 4.0.1.
- Nuevos requisitos para el hash PAN y el uso en medios electrónicos, así como la protección de copias para tecnologías de acceso remoto
- Nuevos requisitos sobre el uso de certificados para la transmisión PAN para no permitir certificados vencidos o revocados.
- Nuevos requisitos sobre malware y phishing
- Nuevos requisitos para los sitios internet de comercio electrónico y las aplicaciones internet que enfrentan públicos
- Nuevos requisitos para la revisión de la cuenta de las cuentas de usuario y el uso de MFA para todo el acceso al CDE
- Nuevos requisitos sobre la gestión de cuentas de sistemas y codificación de contraseñas
- Nuevos requisitos para herramientas de auditoría para revisiones automatizadas de registros
Nuevas políticas y procesos
La seguridad requiere controles técnicos, controles de políticas y personas. En cada dominio ahora hay un requisito de política y roles claramente definidos para garantizar que se puedan cumplir todos los aspectos del management, con clara propiedad. Este es un cambio mayor en basic a PCI y ayuda a garantizar la gobernanza interna de todos los aspectos del cumplimiento de PCI.
Mayor flexibilidad con el enfoque personalizado
La tecnología ha cambiado drásticamente desde que se lanzó el estándar PCI. Con la adopción de tecnologías de nube privadas y privadas más modernas, para incluir arquitecturas impulsadas por eventos y tecnologías de contenedores, los estándares deben ser flexibles para adaptarse a las nuevas capacidades. Por lo tanto, existe una flexibilidad para garantizar que un management de compensación pueda lograr adecuadamente un objetivo de seguridad, ahora hay un enfoque personalizado, que puede permitir que las empresas innovaran mientras cumplen.
Este es un cambio bastante grande de los estándares PCI anteriores. La opción personalizada permite a los minoristas investigar tecnologías más nuevas que pueden no tener la misma forma y función del management que las tecnologías tradicionales han utilizado. Esto es importante al evaluar las arquitecturas de aplicaciones basadas en eventos, las herramientas de IA y las tecnologías nativas de nubes modernas, ya que permite cierta flexibilidad para adoptar tecnologías modernas como controles personalizados. Este tema es amplio y fuera del alcance de este weblog, pero se puede encontrar en el estándar PCI o un resumen está en el Guía de referencia rápida para PCI DSS 4.0.
Se pueden encontrar detalles adicionales sobre los requisitos, así como cómo cumplir con los controles de seguridad que se pueden utilizar para ayudar a cumplir con estos requisitos. aquí.
Cambios derivados
El requisito de seguridad inalámbrica no ha cambiado. Un aspecto único sobre la conexión inalámbrica en PCI que es diferente de otras tecnologías, es ciertos requisitos (1.3.3, 9.2.3) se aplican a todas las redes inalámbricas, incluso fuera del entorno de datos del titular de la tarjeta. Estos no solo se aplicarán a los entornos de la tienda donde los lectores de tarjetas inalámbricas adjuntas están presentes. La pink inalámbrica es la pink pública con la superficie de ataque más grande en el entorno de los minoristas.
Lo que está cambiando con respecto a la conexión inalámbrica son los estándares mismos. mientras Guía de súplica inalámbrica PCI PCI A partir de 2011, las notas de los años WPA2 y más tarde deben usarse, WPA3 se lanzó en 2019 y WPA4 está en el horizonte. En 2024, NIST publicó una guía de transición para los protocolos de criptográficos posteriores y la deprecación de estos protocolos para 2030. Esto implica que en los próximos años, los minoristas se enfrentarán a la actualización de sus redes inalámbricas para mantener el cumplimiento de PCI con las nuevas tecnologías WPA más nuevas. Esto es específicamente para cumplir con el requisito de PCI 4.2.1.2, para todos los entornos inalámbricos que admiten la transmisión de los datos del titular de la tarjeta, que “usan las mejores prácticas de la industria para implementar una criptografía sólida para la autenticación y la transmisión”. A medida que la mejor práctica de la industria evoluciona, también debe el entorno minorista.
Comuníquese con su equipo de cuenta con preguntas o demostraciones sobre cómo Cisco Expertise está ayudando a nuestros minoristas más grandes a abordar estos nuevos requisitos.
Compartir:
