La nueva traducción 4.0 del unificado PCI DSS que se aplica a las organizaciones que manejan tarjetas de suscripción ahora es obligatoria a partir del 1 de abril de 2024. Como QSA, he escuchado rumores sobre organizaciones que trasladaron sus evaluaciones anuales PCI DSS a principios de 2024, por lo que podrían realizar una última evaluación en la traducción 3.2.1 ayer de que se retire el 31 de marzo. De guisa similar, algunas organizaciones planean realizar su próxima evaluación anual ayer de que los nuevos requisitos de la traducción 4.0 con término futura entren en vigor luego del 31 de marzo de 2025. Estas organizaciones pueden estar jugando un peligroso pernio de cumplimiento.
No puedo culpar a las organizaciones que han hecho todo lo posible para implementar PCI DSS traducción 4.0 o los requisitos futuros, pero quieren conseguir su evaluación porque no están seguros de aprobarla a pesar de sus esfuerzos. Lo que me preocupa son las organizaciones que parecen pensar que no necesitan implementar los nuevos requisitos hasta puntual ayer de la próxima evaluación anual luego de que pase la término de vigencia. Por ejemplo, si realizaron una evaluación de la traducción 3.2.1 ayer de la término frontera de marzo de 2024, creen que los requisitos de la traducción 4.0 no necesitan estar implementados hasta puntual ayer de su próxima evaluación en marzo de 2025 y que los requisitos con término futura no deben estar vigentes hasta puntual ayer de su evaluación de marzo de 2026.
La pregunta frecuente 1176 de PCI SSC establece que “los requisitos con término futura se consideran mejores prácticas hasta que se trascendencia la término futura, luego de la cual esos requisitos serán efectivos y aplicables”. Tenga en cuenta que las preguntas frecuentes no dicen que los requisitos se vuelven efectivos y aplicables solo ayer de la futuro evaluación anual luego de que se trascendencia la término futura. La mayoría de los requisitos de PCI DSS traducción 4.0 ya deberían implementarse a partir del 1 de abril de 2024 cuando se retiró la traducción 3.2.1con la excepción de los requisitos con término futura, que deben implementarse el 1 de abril de 2025 o ayer para seguir cumpliendo. Las organizaciones que no intentan implementar los requisitos de la traducción 4.0 ayer de las fechas de vigencia están incumpliendo intencionalmente, potencialmente durante casi un año inalterable.
Si un QSA sabrá o no si una ordenamiento que está evaluando implementó un requisito específico a tiempo es una cuestión diferente. Una evaluación ocurre en un momento específico y podría ser difícil para un QSA detectar si algunos requisitos no se implementaron en la término de entrada en vigor. El retraso en la implementación de algunos otros requisitos es mucho más obvio. Es mucho más liviana identificar cuándo se implementó por primera vez un requisito si el requisito genera registros fechados que los procedimientos de prueba requieren que el QSA revise, especialmente para las actividades que se requieren periódicamente.
El requisito 3.3.2 (que tiene término futura de 2025) es un ejemplo en el que un QSA tendría dificultades para determinar cuándo se implementó el requisito. El requisito establece que los datos de autenticación confidenciales (SAD, por ejemplo, números CVV) deben cifrarse si se almacenan ayer de la autorización. Los procedimientos de prueba de PCI DSS instruyen al QSA a examinar los almacenes de datos, las configuraciones del sistema y/o la documentación del proveedor para repasar que el SAD esté criptográfico. Un QSA no tendrá forma de memorizar si el criptográfico se inició solo unos días ayer de la evaluación a menos que alguno se lo indique durante una entrevista, especialmente porque todo el SAD debe eliminarse luego de la autorización (Requisito 3.3.1), eliminando cualquier documento antiguo. que de otro modo el QSA podría tropezar.
Los requisitos con término futura que requieren un Descomposición de Aventura Dirigido (TRA) realizado de acuerdo con el Requisito 12.3.1 son todos ejemplos en los que será liviana para un QSA determinar cuándo se implementó el requisito por primera vez conveniente a un señal documental obvio. La plantilla PCI SSC para documentar la TRA incluye un campo tanto para la término en que se realizó originalmente la TRA como para la término de su última modernización. El QSA debe revisar la documentación de TRA, y la término en el formulario de TRA mostrará al QSA si el TRA se realizó luego de la término de vigencia, a menos que la ordenamiento que se está evaluando ponga los documentos en término mencionado. Muchas de las actividades que debe realizarse en un tiempo definido La frecuencia todavía generará registros propios, y el QSA puede solicitar ver estos registros desde el momento en que el requisito entró en vigor por primera vez. Los registros faltantes son una clara señal de alerta que debería ser motivo para que una QSA profundice más.
Tenga en cuenta que esto todavía se aplica a los cambios en los cuestionarios de autoevaluación de PCI DSS. Por ejemplo, el SAQ A para comerciantes de comercio electrónico no incluía el escaneo ASV en la traducción 3.2.1 de PCI DSS, pero se agregó en la traducción 4.0. Los escaneos ASV son otro ejemplo de una actividad periódica donde un principio tardío será inmediatamente obvio conveniente a la yerro de informes de escaneo de terceros para trimestres anteriores. Los comerciantes de comercio electrónico que utilizan SAQ A deben realizar su primera Escaneo ASV trimestral a más tardar el 30 de junio de 2024 (el final del trimestre luego de que se retiró la traducción 3.2.1)independientemente de cuándo será el próximo día en que deban completar su SAQ.
Los QSA tienen cierto beneficio de maniobra para etiquetar a las organizaciones como conformes si se identifican y corrigen fallas menores durante la evaluación. No puedo charlar por todos los QSA, pero si descubro que una ordenamiento hizo esfuerzos para cumplir con los cambios y no cumplió con los requisitos conveniente a un malentendido, trabajaría con ellos para corregir el problema y poder marcarlos como conformes. Por el contrario, no lo consideraría un error último si una ordenamiento no cumpliera intencionalmente durante la longevo parte de un año luego de la término de entrada en vigor de la traducción 4.0 o de los requisitos con término futura. Probablemente marcaría a esas organizaciones como no conformes, a excepción de circunstancias atenuantes. Por otra parte, no tendría ninguna piedad si descubriera que un cliente está retrodatando documentos de guisa fraudulenta o mintiendo durante las entrevistas para encubrir su incumplimiento a tiempo.
PCI SSC ha tenido durante mucho tiempo un cronograma de implementación predecible para las nuevas versiones de PCI DSS, por lo que las organizaciones han recibido muchas advertencias y tiempo para implementar los cambios necesarios. La traducción 4.0 se lanzó al notorio en marzo de 2022. Esto significa que las organizaciones tuvieron 2 primaveras para implementar los requisitos sin término futura en la traducción 4.0 de PCI DSS ayer de que se retirara la traducción 3.2.1 el 31 de marzo de 2024. Las organizaciones habrán tenido 3 primaveras para implementar los requisitos con término futura para cuando llegue el 31 de marzo de 2025.
TrustedSec recomienda que las organizaciones sujetas al cumplimiento de PCI DSS hagan todo lo posible para alinearse con los requisitos de la traducción 4.0 de inmediato y se preparen para tener los requisitos con término futura implementados ayer del 31 de marzo de 2025. Incluso si el cumplimiento no es valentísimo, es mucho Es más liviana explicar y atracar errores menores que el incumplimiento generalizado. TrustedSec ha estado ayudando a nuestros clientes a prepararse para la traducción 4.0 de PCI DSS desde su tirada, y continuamos ayudando a nuestros clientes a prepararse para los requisitos futuros. Estamos disponibles para ayudar a comprender los requisitos y las formas más eficientes de implementarlos en cualquier entorno.
