Facebook Linkedin X-twitter Youtube Spotify Soundcloud
Buscar
Cerrar este cuadro de búsqueda.

Nuevas amenazas de fraude: PCI al rescate

Finaliza 2022, un año lleno de novedades en el ámbito de los estándares PCI, tal y como se vio la última edición del PCI European Community Meeting de Milán, punto de encuentro anual de las principales empresas del sector.

Este ha sido un año importante, PA-DSS ha sido retirada y sustituida definitivamente por Software Security Framework (norma encargada de la seguridad de datos en aplicaciones de pago), se han actualizado estándares tan importantes como PCI PTS -centrada en la seguridad de los dispositivos físicos- y recientemente se ha publicado la MPoC que regla los pagos a través de dispositivos móviles. Pero sin duda el mayor impacto es la publicación de la nueva PCI DSS.

El pasado mes de marzo se publicó la PCI DSS 4.0, su norma más importante, aquella que sirve de espina dorsal y que vertebra el resto de los 16 estándares que conforman el ecosistema de seguridad del Council. La importancia y el cuidado que se ha puesto en esta nueva versión se observa teniendo en cuenta los casi 8 años que han sido necesarios desde que se publicó la anterior versión (3.0) y más de 4 desde la última revisión “menor” (3.2.1) para terminar de darle forma.

Se trata de una actualización cargada de novedades, dado que la exigencia en materia de seguridad ha aumentado de forma exponencial en los últimos tiempos por el uso de los pagos digitales. El Council, consciente del cambio producido en los canales de pago y de la aparición de nuevas amenazas, ha redoblado esfuerzos y puesto el foco en que los aspectos más importantes garanticen la seguridad de los pagos. 

Esto se traduce en más de 50 nuevos requisitos de seguridad, de los que algo más de una docena son de obligado cumplimiento desde el primer momento, destacando principalmente:

  • Uso de contraseñas más robustas y seguras.
  • Refuerzo de la autenticación multi -factor para evitar robos de credenciales y accesos no permitidos. 
  • Implantación de medidas anti-phishing y anti-ransomware.
  • Aumento de la seguridad en el desarrollo y mantenimiento de páginas web.

Adicionalmente, la proliferación de proveedores de servicio intermedios, que los nuevos modelos de negocio post pandemia o normas como la GDPR o la PSD2 han traído consigo, hacen imprescindibles medidas que ayuden a prevenir y evitar incidencias. Para ello, se presta atención a la seguridad de estos terceros cuyo riesgo, en caso de brecha de seguridad, es mayor ya que acumulan el de todos sus clientes. Se han definido hasta 11 nuevos requisitos de seguridad exclusivamente para ellos, además de un mayor detalle y exigencia en su cuestionario de autodevaluación.

Finalmente, una de las novedades que más atención acaparó en esta nueva edición de PCI 4.0 es la forma en la que se puede cumplir con los requisitos de seguridad. Y es que el Council, consciente de la exigencia a comercios y proveedores en esta nueva versión de la normativa y de la velocidad a la que el mundo de los pagos evoluciona, ha decidido flexibilizar las vías para abordar el cumplimiento. Hasta el momento se debían seguir una serie de pasos establecidos para lograr validar un requisito de seguridad. Ahora, si se quiere, podrá hacerse mediante una solución propia (enfoque personalizado), permitiendo que el camino para lograr este objetivo no esté marcado a fuego.

Para facilitar este cambio tan profundo, se ha establecido un periodo de transición en el que tanto la 3.21. como 4.0 son válidas para el cumplimiento, quedando vigente hasta finales de marzo de 2024 la actual versión. No obstante, esto podría convertirse en un caramelo envenenado si decidimos tomar este periodo para el descanso. 

Los 15 meses extra son necesarios para implementar todos los nuevos requerimientos de seguridad a tiempo. Aunque buena parte de ellos sólo sean de obligado cumplimiento a principios de 2025 (y ésta parece una fecha muy lejana), lo cierto es que son muy exigentes y por consiguiente, necesitan un plazo de implementación y dedicación. Por otro lado, sería un error retrasar la implantación de medidas que ya ponen remedio a peligros y amenazas actuales.

En resumen, la importante puesta al día de PCI debe verse como una oportunidad para afrontar y poner solución a las amenazas existentes, así como la ocasión para posicionarse por delante de competidores menos proactivos. Para ello, es recomendable buscar un socio tecnológico como Necomplus que dispongan de expertos en PCI para acompañar a las organizaciones en el largo recorrido hacia el cumplimiento normativo. 

QUIERO RECIBIR EL NEWSLETTER DE ECOMMERCE NEWS
Picture of Ecommerce News

Ecommerce News

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

ÚLTIMOS POSTS

ÚLTIMOS POSTS

PUEDE INTERESARTE

8 de cada 10 hombres compra productos de belleza para las mujeres en internet durante las navidades

¿CONECTAMOS?

POSTS MÁS COMENTADOS

Scroll al inicio
Email:*
Nombre:*
Apellidos:*
Empresa:*
Cargo:
Sector:
Teléfono:
Dirección postal:

Rellenar si se quiere recibir la revista física.
Acepto recibir la newsletter y comunicaciones de Ecommerce News conforme a la Política de Privacidad:
Acepto recibir comunicaciones comerciales de terceros: