Revolution Banking SP 2016

La publicación de las nuevas versiones de PCI DSS y PA DSS será a finales de abril de 2016

By on 12 abril, 2016
PCI Nube de palabras

PCI SSC logoSegún el PCI Hispano, de acuerdo con información adicional provista por el PCI SSC en una serie de webinars internos, se han ofrecido detalles adicionales de lo que será la nueva versión 3.2 del estándar PCI DSS. La publicación de las nuevas versiones de los estándares PCI DSS y PA DSS será a más tardar a finales de abril de 2016.

El PCI SSC ha justificado los cambios en las fechas de publicación de los estándares fuera del ciclo trianual (como se venía realizando anteriormente) indicando que las actualizaciones que aparecerán en el futuro no implicarán cambios “radicales” en los controles, sino por el contrario serán “evoluciones” menores, en vista que los estándares se pueden considerar como maduros.

Uno de los cambios principales vendrá de la mano de la obligatoriedad en el uso de autenticación de dos factores (2FA) para cualquier conexión administrativa, independientemente si su origen es la red interna o una red remota.

Debido a los cambios en el estándar ISO 7812 que propone extender la longitud de 6 a 8 dígitos en el Bank Identification Number (BIN), el requerimiento 3.3 (que permite desplegar solamente los primeros 6 y los últimos 4 dígitos de la tarjeta), probablemente se modificará para cubrir este cambio.

Para los provedores de servicio se agregarán varios controles adicionales, orientados a la ejecución semestral de pruebas de penetración para validar la segmentación, confirmación trimestral en donde se demuestre que todo el personal está siguiendo las políticas de seguridad, documentación de la arquitectura de encriptación (si aplica), implementación de un programa formal de cumplimiento de PCI y fortalecimiento de las actividades de monitorización y reporte en sistemas críticos de control de seguridad.

Se incluirán dos nuevos anexos en PCI DSS, que detallarán el proceso de migración de SSL a TLS y los controles de mitigación de riesgos asociados. El segundo anexo incorporará los controles del documento “Designated Entities Supplemental Validation (DESV)” en el estándar.

Para garantizar la integración de los controles del estándar en las actividades usuales de la organización (business as usual – BAU), se requerirán pruebas periódicas para validar que cualquier cambio en el cuerpo normativo se implementará en su contraparte operativa.

Finalmente, la plantilla de Report on Compliance (RoC) – que es el documento en el cual el QSA reporta sus hallazgos y conclusiones después de una auditoría – se publicará de forma simultánea con el estándar, siendo esta la primera vez que esto sucede, ya que en ocasiones anteriores esta plantilla se publicaba meses después.

La versión 3.2 de PCI DSS y de PA DSS empezará a ser obligatoria a partir de octubre de 2016 (o dependiendo de la fecha final de publicación). En el periodo intermedio, las versiones 3.1 y 3.2 serán válidas.

www.pcihispano.com

Deja un comentario