El año 2022 se presenta cargado de novedades en el ámbito de los estándares PCI, tal y como se pudo ver en la 23ª edición de PCI London que tuvo lugar el 26 de enero.
No cabe duda de que en los últimos dos años se ha producido una consolidación del pago mediante tarjeta frente al uso del efectivo, pero de la misma forma han proliferado nuevas amenazas y formas de fraude en los canales financieros. Como consecuencia de ello, el PCI Council (Consejo de Seguridad) ha tenido que redoblar esfuerzos para seguir garantizando la seguridad en los pagos.
Como prueba de la capacidad para reaccionar de forma más ágil a los cambios que estamos viviendo, en el PCI London se anunciaron respectivamente revisiones menores en P2PE (publicada en septiembre, que recoge soluciones de cifrado punto a punto en pagos presenciales) y Software Security Framework (norma encargada de la seguridad de datos en aplicaciones de pago y que el pasado junio vino a sustituir a PA-DSS).
Dos de los aspectos que más han impactado en el ecosistema de pagos han sido el uso de sistemas en la nube y el pago mediante dispositivos móviles. De ahí que la normativa PCI PTS vaya a incluir el uso de dispositivos criptográficos (HSM) alojados en la nube. De la misma forma, se anunció que se va a publicar un nuevo estándar específico para el uso de pagos en dispositivos móviles (Mobile Payments on COTS ) dado su crecimiento a consecuencia de la pandemia.
Pero el foco principal de esta edición fue la inminente llegada de PCI DSS 4.0 prevista para este trimestre y que entrará en vigor de forma única a principios de 2024. Una actualización de la norma que llegará cargada de novedades, derivadas del nuevo enfoque de la misma, más orientada hacia la consecución de objetivos de seguridad que otorgarán mucha más capacidad de maniobra a comercios y proveedores para cumplirla y que incluirá nuevos requisitos de seguridad y cuestionarios de autoevaluación,
Nueva filosofía, nuevos requisitos de seguridad, nuevos cuestionarios. Tres aspectos por los que, en la primera cita del año de los expertos en PCI, se subrayó la importancia de empezar a trabajar de inmediato. El Council, consciente del esfuerzo que supondrá un cambio de esta envergadura, incluso ha ampliado un año más el periodo transicional actual, para favorecer el cumplimiento de aquellos requisitos de seguridad más novedosos y exigentes.
Aunque a primera vista puede parecer mucho tiempo, si hemos de extraer un aprendizaje de la reciente implantación de la PSD2, es que estos esfuerzos deben realizarse progresivamente y aprovechando la totalidad del periodo disponible para ejecutar la migración sin sobresaltos. Y por supuesto, durante la transición, apoyarse en servicios en asesoramiento experto en PCI como los que ofrece Necomplus, puede suponer la diferencia entre éxito y fracaso.
Llegan nuevos retos en el mundo de los pagos por tarjeta, por móvil, formas innovadoras que de la misma forma que ganan adeptos, generan amenazas de fraude que el cumplimiento de la seguridad PCI puede evitar.
