Según lo previsto, la próxima versión del estándar de seguridad para datos de tarjetas de pago, verá su luz en el mes de noviembre de 2013.
PCI Security Standards Council (PCI SSC) ha anunciado los cambios previstos para Payment Card Industry Data Security Standard (PCI DSS) versión 3.0, la cual incluirá algunos cambios importantes desde la versión 2.0, que se mantendrá activa hasta el 31 de diciembre de 2014.
Las áreas de desafío y los factores del cambio incluyen:
- Falta de formación y sensibilización;
- Contraseñas débiles y los retos de autenticación;
- Desafíos a la seguridad de terceros;
- Lenta auto-detección en respuesta a malware y otras amenazas, y
- Falta de coherencia en las evaluaciones.
PCI DSS v3.0 introducirá un mayor número de cambios que los que introdujo la versión 2.0, incluyendo nuevos sub-requerimientos. Los cambios propuestos incluyen:
- Recomendaciones para integrar PCI DSS en el negocio, además de las mejores prácticas para mantener compliance con PCI DSS
- Política y procedimientos operacionales de seguridad integrados en cada requisito
- Guía para todos los requisitos con contenido desde la Guía de Navegación de PCI DSS
- Aumento de la flexibilidad y la formación en torno a la fortaleza y la complejidad de la contraseña
- Nuevos requisitos para la seguridad de los terminales de puntos de venta
- Requisitos más sólidos para las pruebas de penetración y la validación de la segmentación
- Consideraciones para los datos de titulares de tarjetas en memoria
- Procedimientos de pruebas mejoradas para aclarar el nivel de validación esperado para cada necesidad
- Requisitos ampliados de seguridad en el ciclo de vida de desarrollo de software de ciclo de vida para los proveedores de aplicaciones PA-DSS, incluyendo el modelado de amenazas.
PCI DSS y PA-DSS 3.0 se publicarán el 07 de noviembre Las normas entrarán en vigor el 1 de enero de 2014, pero para garantizar el tiempo necesario para la transición, la versión 2.0 se mantendrá activa hasta 31 de diciembre 2014.
Mas información en https://www.pcisecuritystandards.org/security_standards/documents.php