4 claves para llegar a PCI DSS 4.0 sin sobresaltos

Finalizada la edición europea anual del PCI Community Meeting, celebrada en Dublín, llega el momento de hacer balance.

Sin lugar a dudas, el tema estrella ha sido PCI DSS 4.0 (Normas de seguridad de datos de la industria de tarjetas de pago), la normativa de la que se habla desde el pasado año por el enorme esfuerzo que el Council ha invertido en desarrollar esta nueva versión. La cuenta atrás para la retirada de la PCI DSS 3.2.1 ya ha empezado -tiene como fecha límite el 31 de marzo de 2024-. A partir de ese día, todas las validaciones deberán ceñirse a la nueva norma y abril de 2024 es un plazo muy exigente, según todos los expertos. No obstante, tal como se insistió en el encuentro de expertos de PCI, no hay visos de aplazamiento alguno.

Por tanto, para los comercios, es crítico responder a la siguiente pregunta: ¿cómo llegar a tiempo y de forma satisfactoria al cumplimiento de PCI? Javier Trives, responsable de PCI DSS de Necomplus, partner tecnológico de medios de pago, recomienda estos 4 pasos que presentamos a continuación:

1. Entender PCI DSS 4.0

Para cumplir con la batería de nuevas exigencias del estándar, hay que empezar de inmediato, pues tan solo quedan 4 meses para su entrada en vigor. Cuanto antes se asimile lo que significa PCI DSS v4.0 para la organización, antes se planificará y priorizarán las tareas para garantizar una transición eficaz y sin sobresaltos.

Es fundamental leer la norma, así como toda la abundante documentación adicional disponible en la web del Council pues aclara los requisitos y explica los nuevos conceptos introducidos en PCI DSS v4.0.

2. Implantar la seguridad como proceso continuo

Las organizaciones que se centran en mantener los controles de seguridad de PCI DSS durante todo el año reducen el riesgo de incidentes y violaciones de la seguridad, evitando que el negocio sea víctima de los cibercriminales. La gestión eficaz es fundamental para el éxito. Esto incluye el mantenimiento de planes de proyecto precisos, la definición de hitos alcanzables y el seguimiento continuo de su progreso.

Utilice tecnologías y soluciones que hayan sido certificadas. El PCI SSC (PCI Security Standards Council) mantiene listas de productos y soluciones validados conforme a las normas de PCI SSC (soluciones P2PE, dispositivos PTS, software de pago, …) que le ayudarán a cubrir los objetivos de seguridad de manera más sencilla.

Es esencial educar y formar al personal sobre el papel que desarrollarán en el mantenimiento de la seguridad de los datos de su empresa y el cumplimiento de la nueva norma PCI DSS 4.0. De esta forma si se producen incidentes de seguridad, podrán detectarse, notificarse y corregirse rápidamente.

3. Validar el cumplimiento

Es importante que las entidades que se autoevalúen mediante el cuestionario SAQ (Self Assessment Questionnaire), revisen detenidamente el suyo para comprender el alcance, comparándolo con los controles de seguridad actuales y analizando el impacto que los cambios puedan tener en su organización, priorizando los esfuerzos allí donde sean más necesarios.

Insistir en que, para validar el cumplimiento, es imprescindible completar el cuestionario SAQ correctamente y en su totalidad. La presentación de una documentación incompleta o con errores será motivo de rechazo por parte de las Marcas de Tarjeta o su adquirente y podría, incluso, conllevar la necesidad de repetir el proceso.

4. Rodearse de socios de confianza

Estar al día de la abundante documentación existente, así como completar la documentación de cumplimiento, o monitorizar la implantación de medidas de seguridad, supone un reto si no se afronta acompañado por un equipo de profesionales cualificados y de confianza. El propio Council insistió en este punto en el último Europe Community Meeting, como parte fundamental para tener éxito en esta difícil tarea que ya ha empezado su cuenta atrás.

Necomplus, con una trayectoria avalada por sus más de 30 años en la industria de los medios de pago, cuenta con un equipo especialista en PCI que puede acompañar en este importante reto y ayudar a superarlo satisfactoriamente como ya lo hace para varias entidades financieras.

En unos meses conoceremos cómo ha sido la adaptación de los negocios a PCI DSS v4.0, una labor que no se detiene en el hito del 31 de marzo de 2024, dado que para entonces el Council estará avanzando en mejorar el cumplimiento actual. De todo eso y mucho más se hablará en el próximo encuentro europeo del 8 al 10 de octubre 2024 que se celebrará en Barcelona.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

ÚLTIMOS POSTS

ÚLTIMOS POSTS

PUEDE INTERESARTE

¿CONECTAMOS?

POSTS MÁS COMENTADOS

Scroll al inicio
Email:*
Nombre:*
Apellidos:*
Empresa:*
Cargo:
Sector:
Teléfono:
Dirección postal:

Rellenar si se quiere recibir la revista física.
Acepto recibir la newsletter y comunicaciones de Ecommerce News conforme a la Política de Privacidad:
Acepto recibir comunicaciones comerciales de terceros: