pinpad clinado
Seguridad

3 cosas que debe saber sobre PCI DSS en 2018

Jose Troconis

¿Qué sucede después con el estándar de seguridad de datos PCI (PCI DSS)? Aquí nos fijamos en las actualizaciones clave y los hitos para ayudar a las organizaciones en sus PCI DSS y esfuerzos de seguridad de pago.

1. La fecha de vigencia de PCI DSS 3.2 para nuevos requisitos ha llegado y se ha ido

El 1 de febrero de 2018 marcó la fecha en que todos los nuevos requisitos introducidos en PCI DSS versión 3.2 deben ser adoptados por las organizaciones e incluidos en sus evaluaciones PCI DSS.

Para todas las organizaciones:

  • Cambie los procesos de administración para confirmar que los requisitos afectados de las PCI DSS están vigentes después de un cambio significativo (Requisito 6.4.6)
  • Autenticación de múltiples factores para todos los accesos administrativos que no sean de consola (Requisito 8.3.1)

Requisitos adicionales para los proveedores de servicios:

  • Mantener una descripción documentada de la arquitectura criptográfica (Requisito 3.5.1)
  • Detecta y responde a fallas de sistemas críticos de control de seguridad (Requisitos 10.8, 10.8.1)
  • Realizar pruebas de penetración en los controles de segmentación al menos cada seis meses (Requisito 11.3.4.1)
  • Establecer un programa formal de cumplimiento de PCI DSS (Requisito 12.4.1)
  • Realice revisiones al menos trimestralmente para garantizar que se sigan las políticas y procedimientos de seguridad (Requisitos 12.11, 12.11.1)

Más información: Resumen de cambios de PCI DSS 3.1 a 3.2

 

2. El 30 de junio de 2018 es la fecha límite para la migración de SSL / Early TLS

Secure Sockets Layer (SSL) y las primeras versiones de Transport Layer Security (TLS) ya no se consideran formas seguras de cifrado. Es sumamente importante que las organizaciones actualicen a una versión segura de TLS, como TLS v1.2 o superior, tan pronto como sea posible y desactive cualquier respaldo a SSL / TLS inicial.

Muchos requisitos de las PCI DSS requieren el uso de una «criptografía sólida» tal como se define en el glosario de las PCI DSS (consulte el Apéndice A2 de PCI DSS v3.2 para conocer los requisitos actuales sobre este tema). Después del 30 de junio de 2018 SSL / early TLS no se debe usar como un control de seguridad para cumplir con los requisitos de las PCI DSS que intenten demostrar una criptografía sólida.

Nota: Los terminales POS POI que se verifiquen como no susceptibles a exploits conocidos y los puntos de terminación del proveedor de servicios a los que se conectan, pueden continuar utilizando SSL / early TLS como control de seguridad.

Más información: PCI SSC Migración desde SSL / Guía de recursos de TLS temprana

 

3. La revisión completa de PCI DSS está en desarrollo

Los comentarios recibidos de las organizaciones participantes y los evaluadores durante el período de retroalimentación formal de PCI DSS a fines de 2017 están siendo revisados ​​y considerados para la próxima versión principal de PCI DSS.

Al igual que con cualquier actualización estándar, mantendremos informadas a las partes interesadas del PCI SSC sobre las actualizaciones de PCI DSS a medida que se finalicen y sobre el calendario previsto de cualquier revisión de PCI DSS.

 

Fuente: https://blog.pcisecuritystandards.org

 

También te puede gustar

17 cosas que deberíamos haber aprendido en 2017, pero probablemente no lo hicimos

Jose Troconis

Mejores Prácticas para la Gestión de un SIEM

Jose Troconis

¿Que es el cumplimiento SOX?

Jose Troconis
Translate »