Actualización de PCI 3.0
Ciberdelincuencia, robo de identidad y el fraude van en aumento; y en la mayoría de los casos, las violaciones de datos están asociadas con las tarjetas de crédito y datos del titular. El impacto de la violación de datos afecta a las organizaciones y a sus clientes.
Es fácil notar que la mayoría de las organizaciones tienen dificultades para cumplir con los requisitos necesarios para el procesamiento de datos del titular de las tarjetas de crédito. Por eso, basado en la retroalimentación de la industria, PCI Security Councilha introducido algunos cambios en las regulaciones de cumplimiento y los mismos serán publicados en la versión 3.0 de PCI, cuya versión final está programada para el lanzamiento el próximo 07 de noviembre de 2013, y se espera que será efectiva a partir de enero de 2014.
Entre los factores considerados para las revisiones en PCI 3.0
Es fácil notar que la mayoría de las organizaciones tienen dificultades para cumplir con los requisitos necesarios para el procesamiento de datos del titular de las tarjetas de crédito. Por eso, basado en la retroalimentación de la industria, PCI Security Councilha introducido algunos cambios en las regulaciones de cumplimiento y los mismos serán publicados en la versión 3.0 de PCI, cuya versión final está programada para el lanzamiento el próximo 07 de noviembre de 2013, y se espera que será efectiva a partir de enero de 2014.
¿Cuáles son las actualizaciones y cuál será del impacto del cumplimiento de PCI de la organización?
La actualización 3.0 también clarificará la intención de los requisitos y los métodos de aplicación: Flexibilidad:se añade mayor flexibilidad en términos de cómo cumplir con los requisitos de PCI y cómo las organizaciones deben mitigar los riesgos. Responsabilidad compartida:PCI 3.0 cita que la protección de datos de los titulares de las tarjetas es una responsabilidad compartida debido al aumento en el número de puntos de acceso a los datos de los titulares.Entre los factores considerados para las revisiones en PCI 3.0
- Mejoras en la seguridad del pago
- Aplicabilidad global
- Costo del cambio de la infraestructura
- Impacto de los cambios
¿Novedades de PCI 3.0 y por qué la nueva versión?
| PCI Requirement No. | Current PCI DSS Standard(as of October 2013) | Proposed PCI DSS Update for 3.0 on top of existing standards | Purpose |
| 1 | Install and maintain a firewall configuration to protect cardholder data. | Have a current diagram that shows cardholder data flows. | To clarify that documented cardholder data flows are an important component of network diagrams. |
| 2 | Do not use vendor-supplied defaults for system passwords and other security parameters. | Maintain an inventory of system components in scope for PCI DSS. | To support effective scoping practices. |
| 3 | Protect stored cardholder data. | No change from the existing version. | |
| 4 | Encrypt transmission of cardholder data across open, public networks. | No change from the existing version | |
| 5 | Use and regularly update antivirus software. | Evaluate evolving malware threats for systems not commonly affected by malware. | To promote ongoing awareness and due diligence to protect systems from malware |
| 6 | Develop and maintain secure systems and applications. | Update list of common vulnerabilities in alignment with OWASP, NIST, and SANS for inclusion in secure coding practices. | To keep current with emerging threats. |
| 7 | Restrict access to cardholder data by business need-to-know. | No change from the existing version | |
| 8 | Assign a unique ID to each person with computer access. | Security considerations for authentication mechanisms such as physical security tokens, smart cards, and certificates. | To address feedback about requirements for securing authentication methods, other than passwords, that need to be included. |
| 9 | Restrict physical access to cardholder data. | Protect POS terminals and devices from tampering or substitution. | To address the need for physical security of payment terminals. |
| 10 | Track and monitor all access to network resources and cardholder data. | No change from the existing version | |
| 11 | Regularly test security systems and processes. | Implement a methodology for penetration testing, and perform penetration tests to verify that the segmentation methods are operational and effective. | To address requests for more details about penetration tests, and for more stringent scoping verification. |
| 12 | Maintain a policy that addresses information security. | Maintain information about which PCI DSS requirements are managed by service providers and which are managed by the entity. Service providers need to accept responsibility for maintaining applicable PCI DSS requirements. |
To address feedback from the 3rd-Party Security Assurance SIG. |
La actualización incluye las siguientes mejoras:
- Eliminación de los requisitos redundantes
- Aclaración de los procedimientos de prueba para cada requisito
- Fortalecimiento de los requisitos de pruebas de penetración y validación de segmentos de red
- Mayor flexibilidad en métodos de mitigación de riesgo que comprende los requerimientos de fuerza y complejidad de contraseña.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!