PCI-DSS 4.0, nuevas normas financieras para las empresas

December 06, 2024 | 4 minutes read
PCI-DSS 4.0, nuevas normas financieras para las empresas

Aunque el Consejo de Normas de Seguridad del Sector de Tarjetas de Pago (PCI-SSC) creó inicialmente la Norma de Seguridad de Datos de la PCI (PCI-DSS) en 2006, estas normas se han modificado varias veces desde entonces. Dicho esto, el PCI-SSC publicó recientemente la versión 4.0 de la PCI-DSS el 31 de marzo de 2022, con el objetivo de proporcionar a los consumidores un entorno aún más seguro cuando utilicen sus tarjetas de crédito, débito y crédito para realizar pagos, ya sea en línea o por teléfono. Para ello, estas normas actualizadas ofrecen a consumidores y comerciantes nuevas directrices sobre el alcance y la aplicabilidad actualizados de la PCI-DSS.

¿Cuál es el alcance y la aplicabilidad de la norma PCI-DSS 4.0?

Como indica el PCI-SCC, la PCI-DSS 4.0 se aplica “a las entidades con entornos en los que se almacenan, procesan o transmiten datos de cuentas, incluso cuando una entidad no almacena, procesa o transmite datos de cuentas, algunos requisitos pueden aplicarse cuando los sistemas de la entidad “pueden afectar a la seguridad de los [datos de cuentas]”. Por otra parte, el ámbito de aplicación de la ley cubre “los componentes del sistema que pueden no almacenar, procesar o transmitir [Datos del titular de la tarjeta] CHD/[Datos sensibles de autenticación] SAD pero que tienen conectividad sin restricciones con componentes del sistema que almacenan, procesan o transmiten CHD/SAD”. En relación con este último punto, uno de los cambios más significativos introducidos por la PCI-DSS 4.0 es la forma en que la norma define ahora los datos personales en el contexto de las transacciones con tarjetas de crédito, débito y prepago.

Datos del titular de la tarjeta frente a datos de la cuenta

Uno de los principales cambios introducidos en la última actualización de la norma PCI-DSS es la definición más amplia de datos personales. Más concretamente, las iteraciones anteriores de la PCI-DSS categorizaban los datos personales de los consumidores como datos del titular de la tarjeta, mientras que los datos más sensibles, como los valores de verificación de la tarjeta (CVV), se clasificaban en cambio como datos sensibles de autenticación (SAD). Asimismo, se permitía a los comercios y empresas aplicar distintos niveles de protección a los datos de titulares de tarjetas y a los DAS. Sin embargo, la norma PCI-DSS 4.0 combinó los datos de titulares de tarjetas y los DUA en una categoría combinada denominada datos de cuentas, lo que significa que muchas organizaciones tendrán que modificar la forma en que almacenan determinadas formas de datos, para no correr el riesgo de incumplir la norma PCI-DSS.

Datos PAN

En consonancia con las formas en que las empresas deben ahora proteger los datos de las cuentas de los consumidores en virtud de la norma PCI-DSS 4.0, una de las características más destacadas de los controles PCI-DSS en general son las formas en que las normas exigen a las organizaciones que protejan los datos del número de cuenta principal (PAN). En consecuencia, las empresas tienen la obligación de salvaguardar los datos PAN mediante cinco métodos principales, que incluyen enmascaramiento, hashing, truncamiento, cifrado y tokenización. A su vez, aunque estas técnicas pueden seguir utilizándose para proteger los datos PAN, la norma PCI-DSS 4.0 introduce algunas modificaciones en la forma en que las empresas pueden utilizar estos métodos. Por ejemplo, las nuevas normas establecen que ya no se permitirán las funciones hash simples, ya que en su lugar “deben utilizarse algoritmos hash criptográficos con clave, como HMAC, CMAC o GMAC”.

Requisitos de autenticación más estrictos

Otro cambio importante que se aplicó de conformidad con la norma PCI-DSS 4.0 fue que se reforzaron los requisitos de autenticación que deben cumplir las empresas cuando procesan datos de cuentas. En particular, las empresas, así como las organizaciones de terceros que puedan procesar información financiera en nombre de dichas empresas, deben utilizar ahora la autenticación multifacética (MFA) para cualquier cuenta que tenga acceso a los datos de las cuentas de los clientes, mientras que las iteraciones anteriores de la PCI-DSS limitaban este requisito a los administradores que tenían acceso al entorno general de datos de los titulares de tarjetas. A la inversa, la norma PCI-DSS 4.0 también obliga a cambiar las contraseñas de todas las cuentas que se utilicen en aplicaciones o sistemas cada 12 meses, así como en caso de que se produzca cualquier actividad sospechosa que pudiera poner en peligro estas cuentas.

Aunque la multitud de cambios que se introdujeron en la norma PCI-DSS 4.0 en marzo de 2022 es demasiado amplia para abarcarla en un solo artículo, el tema general que subyace a todos estos cambios sigue siendo el mismo: garantizar que los consumidores de todo el mundo puedan utilizar sus tarjetas de crédito, débito y prepago para realizar transacciones financieras de la forma más segura posible. Por este motivo, las actualizaciones periódicas de la norma PCI-DSS son muy necesarias, sobre todo debido a la rapidez con que pueden producirse cambios en el panorama digital. Por ello, aunque la PCI-DSS 4.0 es la última iteración de estas normas financieras, no cabe duda de que se introducirán cambios adicionales en los próximos años.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »