Requisitos de PCI DSS v3.2 que entran en vigencia en el 2018
El 30 de abril de 2016 se publicó la versión 3.2 del estándar PCI DSS. Esta versión y sus revisiones posteriores incluían una serie de requisitos identificados temporalmente como “buenas prácticas” y se estipularon unas fechas límite a lo largo del año 2018 para su entrada en vigencia como requisitos obligatorios. Esto implica que a partir del día siguiente a la fecha límite, el requisito deberá contar con evidencia verificable de su ejecución.
A continuación se encuentran identificados todos los controles que se convertirán en obligatorios durante el año 2018:
Si tienes preguntas, no olvides dejar tu comentario o ingresar al foro de PCI Hispano
A continuación se encuentran identificados todos los controles que se convertirán en obligatorios durante el año 2018:
| Fecha de entrada en vigencia | Requisito de PCI DSS v3.2 | Aplicable a: |
|---|---|---|
| 01 de febrero de 2018 | 3.5.1. Mantenga una descripción documentada de la arquitectura criptográfica que incluye: - Detalles de todos los algoritmos, protocolos y claves utilizados para la protección de los datos del titular de la tarjeta, incluidas la complejidad de la clave y la fecha de caducidad - Descripción del uso de la clave para cada tecla - Inventario de un HSM SMS y otros SCD utilizados para la gestión de claves | Proveedores de servicios |
| 01 de febrero de 2018 | 6.4.6. Al término de un cambio significativo, deben implementarse todos los requisitos pertinentes de la PCI DSS en todos los sistemas y redes nuevos o modificados, y la documentación actualizada según sea el caso. | Comercios y proveedores de servicios |
| 01 de febrero de 2018 | 8.3.1. Incorporar la autenticación de múltiples factores para todo acceso que no sea de consola en el CDE para el personal con acceso administrativo. | Comercios y proveedores de servicios |
| 01 de febrero de 2018 | 10.8. Implementar un proceso para la detección oportuna y la presentación de informes de fallas de los sistemas críticos de control de seguridad, incluido pero no limitado a la falla de: - Firewalls - IDS/IPS - FIM - Antivirus - Controles de acceso físicos - Controles de acceso lógico - Mecanismos de registro de auditoría - Controles de segmentación (si se utilizan) | Proveedores de servicios |
| 01 de febrero de 2018 | 10.8.1. Responder a las fallas de los controles de seguridad críticos en el momento oportuno. Los procesos para responder en caso de fallas en el control de seguridad son los siguientes: - Restaurar las funciones de seguridad - Identificar y documentar la duración (fecha y hora de inicio a fin) de la falla de seguridad - Identificar y documentar las causas de la falla, incluida la causa raíz, y documentar la remediación requerida para abordar la causa raíz - Identificar y abordar cualquier problema de seguridad que surja durante la falla del control de seguridad. - Realizar una evaluación de riesgos para determinar si se requieren más acciones como resultado de la falla de seguridad - Implementar controles para prevenir que se vuelva a producir la causa de la falla - Reanudar la supervisión de los controles de seguridad | Proveedores de servicios |
| 01 de febrero de 2018 | 11.3.4.1. Si se utiliza la segmentación, confirme el alcance de la PCI DSS al realizar pruebas de penetración en los controles de segmentación al menos cada seis meses, y después de cualquier cambio a los controles/métodos de segmentación. | Proveedores de servicios |
| 01 de febrero de 2018 | 12.4.1. La gerencia ejecutiva deberá establecer la responsabilidad de la protección de los datos del titular de la tarjeta y un programa de cumplimiento de la PCI DSS para incluir: - Responsabilidad general de mantener el cumplimiento de la PCI DSS - Definir un estatuto para el programa de cumplimiento de la PCI DSS y la comunicación a la gerencia ejecutiva | Proveedores de servicios |
| 01 de febrero de 2018 | 12.11. Realizar revisiones al menos trimestralmente para confirmar que el personal sigue las políticas de seguridad y los procedimientos operativos. Las revisiones deben cubrir los siguientes procesos: - Revisiones del registro diario - Revisiones del conjunto de reglas de firewall - La aplicación de las normas de configuración a los nuevos sistemas - Respuesta a las alertas de seguridad - Procesos de gestión del cambio | Proveedores de servicios |
| 01 de febrero de 2018 | 12.11.1. Mantener la documentación del proceso de revisión trimestral para incluir: - Documentar los resultados de las revisiones - Revisión y cierre de los resultados por el personal asignado a la responsabilidad del programa de cumplimiento de la PCI DSS | Proveedores de servicios |
| 01 de julio de 2018 | Todas las entidades deberán haber dejado de usar la SSL/TLS temprana como un control de seguridad, y usar solo las versiones seguras del protocolo. | Comercios y proveedores de servicios |
Si tienes preguntas, no olvides dejar tu comentario o ingresar al foro de PCI Hispano
Via: feedproxy.google.com
Requisitos de PCI DSS v3.2 que entran en vigencia en el 2018
Reviewed by Zion3R
on
12:55
Rating:
Reviewed by Zion3R
on
12:55
Rating:
