La norma de PCI DSS v3.2 (estándar para proteger los datos de tarjeta) fue publicada en Abril de 2016 y es de obligatorio cumplimiento desde el 01 de Noviembre de 2016 ( la versión 3.1 fué valida hasta el 31 de Octubre de 2016), no obstante en ella se mencionan requerimientos que se consideraban una buena práctica hasta el 31 de Enero de 2018 pero que a partir de hoy 01 de Febrero de 2018 se consideran obligatorios. Cuáles son esos requerimientos? Aquí los relacionamos:

3.5.1 Requisitos adicionales solo para los proveedores de servicios: Mantenga una descripción documentada de la arquitectura criptográfica que incluye:

• Detalles de todos los algoritmos, protocolos y llaves utilizadas para la protección de los datos del titular de la tarjeta, incluyendo complejidad de la llave y fecha de expiración de la llave (criptoperiodo)

• Descripción del uso de cada llave

• Inventario de cualquier HSM y/o SCD usado para la administración de las llaves.

6.4.6 Al término de un cambio significativo, deben implementarse todos los requisitos pertinentes de la norma PCI DSS en todos los sistemas y redes nuevos o modificados, y se debe actualizar la documentación pertinente o aplicable.

8.3.1 Implementar la autenticación múltifactor para el personal con acceso administrativo que no sea por consola al CDE (CardData Environment). Acceso que "no sea por consola" significa que el sistema es administrado a través de la red.

10.8 Requisitos adicionales solo para los proveedores de servicios: Implementar un proceso para la detección oportuna y reporte de fallas de los sistemas de control de seguridad críticos, incluido pero no limitado a la falla de:

• Firewalls

• IDS/IPS

• FIM

• Antivirus

• Controles de acceso físico

• Controles de acceso lógico

• Mecanismos de registros de auditoría

• Controles de segmentación (si se utilizan)

10.8.1 Requisitos adicionales solo para los proveedores de servicios: Responder de manera oportuna a las fallas de los controles de seguridad críticos. Los procesos para responder en caso de fallas de los controles de seguridad deben incluir lo siguiente:

• Restaurar las funciones de seguridad

• Identificar y documentar la duración (fecha y hora de inicio a fin) de la falla de seguridad

• Identificar y documentar las causas de la falla, incluida la causa raíz, y documentar la remediación requerida para abordar la causa raíz

• Identificar y abordar cualquier problema de seguridad que surja durante la falla del control de seguridad.

• Realizar una evaluación de riesgos para determinar si se requieren más acciones como resultado de la falla de seguridad

• Implementar controles para prevenir que se vuelva a producir la causa de la falla

• Reanudar la supervisión de los controles de seguridad

11.3.4.1 Requisitos adicionales solo para los proveedores de servicios: Si la segmentación es usada, confirme el alcance de la PCI DSS al realizar pruebas de penetración en los controles de segmentación al menos cada seis meses, y después de cualquier cambio a los controles/métodos de segmentación.

12.4.1 Requisitos adicionales solo para los proveedores de servicios: La gerencia ejecutiva debe establecer la responsabilidad de la protección de los datos del titular de la tarjeta y un programa de cumplimiento de la PCI DSS que incluya:

• Responsabilidad general de mantener el cumplimiento de la PCI DSS

• Definir un capítulo para el programa de cumplimiento de PCI DSS y la comunicación a la gerencia ejecutiva

12.11 Requisitos adicionales solo para los proveedores de servicios: Realizar revisiones al menos trimestralmente para confirmar que el personal sigue las políticas de seguridad y los procedimientos operativos. Las revisiones deben cubrir los siguientes procesos:

• Revisión diaria de logs

• Revisiones del conjunto de reglas de los firewalls

• Estándares de configuración o guías de hardening aplicados a los nuevos sistemas

• Respuesta a las alertas de seguridad

• Procesos de gestión del cambio

12.11.1 Requisitos adicionales solo para los proveedores de servicios: Mantener la documentación del proceso de revisión trimestral para que incluya lo siguiente:

• Documentación de los resultados de las revisiones realizadas

• Revisión y aprobación de los resultados por el personal asignado como responsable para el programa de cumplimiento de PCI DSS.

Así que se acabó el plazo, a implementar los requerimientos mencionados.

Saludos.

Fernán Pérez

CEO DataFaith