20 sep. 2021

Novedades de PCI DSS v4.0

Debido a la ampliación en el periodo de recepción de comentarios y sugerencias para los documentos de validación de PCI DSS (plantillas del Report on Compliance (ROC), Self-Assessment Questionnaires (SAQs) y Attestation of Compliance (AOC), el PCI Security Standards Council (PCI SSC) ha anunciado formalmente que la publicación de la versión 4.0 del estándar PCI DSS será pospuesta hasta finales del año 2021 principios del año 2022 (primer trimestre), aunque las fechas oficiales serán informadas en los próximos meses.

Por lo que se sabe, el PCI SSC continuará por la misma línea de publicar sus estándares fuera de los ciclos de 3 años establecidos originalmente, con lo cual su programa del ciclo de vida para la publicación de PCI DSS y PA DSS se convertirá oficialmente en obsoleto. Se ha anunciado la publicación de la versión 4.0 de PCI DSS durante el primer trimestre de 2022. Esta es una fecha estimada, ya que todo depende del trabajo de análisis de los comentarios recibidos en 2021 por parte de los grupos de trabajo.

El cambio en esta fecha afectará también a los periodos de transición de PCI DSS v3.2.1 a PCI DSS v4.0 y a las fechas de cumplimiento de varios requerimientos (future-dated requirements).

Por ahora (si no se presentan más cambios), las fechas de desarrollo y publicación del estándar PCI DSS v4.0 serán las siguientes:

Por otro lado, las fechas de transición entre la versión 3.2.1 y la versión 4.0, así como las fechas de los requerimientos que se deben cumplir en el futuro serán las siguientes:

¿Qué novedades traerá la versión 4.0 de PCI DSS?

  • Dentro de las novedades que se incorporarán en esta nueva versión se encuentran las siguientes:
  • Alineación de los controles de autenticación con las guías de contraseñas y autenticación multifactor (MFA) del NIST (Special Publication 800-63), incluyendo la protección de cuentas críticas, restricción del uso de contraseñas de un solo uso ("One Time Password" – OTP) basadas en SMS y correo electrónico y recomendaciones generales para la selección de contraseñas y su complejidad.
  • Uso de encriptación en el tráfico dentro de redes confiables.
  • Incorporación de varios controles del Anexo 3 de PCI DSS (Validación suplementaria de entidades designadas) como controles regulares de PCI DSS.
  • Adición de soporte de metodologías adicionales para la gestión de seguridad del entorno.
  • Optimización de los métodos y procedimientos de validación.
  • Mejora de controles existentes relacionados con monitorización para incorporar los cambios tecnológicos actuales.

Fuente: PCI Hispano

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!