El ámbito del pago telefónico con tarjeta no se detiene, al contrario, evoluciona a pleno galope. Y lo hace fustigado por dos hechos; por un lado está su creciente popularidad entre los usuarios, que cada vez lo demandan más; por el otro, las amenazas fraudulentas van en aumento y se hacen más eficaces al ritmo de este éxito.
Como la seguridad debe marchar al mismo paso que la usabilidad y la seguridad, el PCI SSC (o Consejo de Estándares de Seguridad de PCI) ha lanzado el PCI DSS v4.0 en marzo de 2022, la última versión de su estándar para el pago seguro con tarjeta. En este texto presentamos brevemente los cambios y novedades.
El estándar, su razón de ser (y de renovarse)
El margen de mejora del estándar se ha ampliado desde 2018, cuando se actualizó la versión previa, debido a dos factores: las evoluciones tecnológicas están siendo significativas y muy rápidas; y el número de industrias, modelos de negocio y empresas que implementan soluciones de pago seguro con tarjeta crece como la espuma.
Así, necesariamente surgen nuevos desafíos para el pago seguro con tarjeta en un futuro cercano, como explica el PCI en su nota de prensa de lanzamiento del DSS v4.0. En PAYby CALL seguiremos contando con la certificación PCI DSS para garantizar a nuestros clientes la seguridad de los datos de sus usuarios en el contexto de un servicio fluido y eficiente.
Cuatro objetivos claros y cambios esenciales
Los nuevos objetivos principales son los siguientes:
- Cumplir con las necesidades de seguridad de la industria de pago con tarjeta.
- Hacer de la seguridad un proceso continuo.
- Flexibilizar las opciones para los diferentes métodos de pago.
- Mejorar los mecanismos de validación de los distintos requisitos.
Como te podrás imaginar, dar un salto generacional en este tipo de cosas implica cambios complejos que incluye nuevas orientaciones aclaratorias, modificaciones estructurales y ante todo evoluciones en los requisitos y procedimientos de operación y seguridad (sea para añadir nuevos, revisar los existentes o sustituirlos). Destacamos:
- Necesidades de seguridad: factor de doble autenticación, claves actualizadas, nuevas prácticas anti-phishing.
- Proceso continuo: roles y responsabilidades mejor definidas, mejores guías de uso, reportes más profundos y transparentes.
- Flexibilizar las opciones: permisos diversificados, análisis de riesgos específicos, enfoque personalizado.
- Mecanismos de validación: alineamiento entre cuestionarios de autoanálisis y certificaciones de cumplimiento.
Un estándar en constante proceso de mejora
Tal vez el punto fuerte de esta última versión del estándar radica que se apoya en el feedback de la propia industria del ramo. Con más de 200 compañías ofreciendo más de 6000 comentarios y tres rondas de consultas sobre el borrador, el PCI SSD v4.0 tiende a ser lo que la industria del pago seguro con tarjeta necesita.
En estos momentos, un trimestre después del lanzamiento, nos encontramos con las primeras revisiones (mayo de 2022) y las publicaciones de los documentos de formación y soporte técnico. Se aprecia así el dinamismo de un proceso de mejora continua para hacer el estándar plenamente operativo ante el surgimiento progresivo de nuevos requisitos de seguridad.
Se abre así una transición de dos años a lo largo de la cual esta versión sustituirá a la anterior v3.2.1, que será retirada definitivamente en el primer trimestre de 2024. Si lo deseas, en esta infografía puedes ver todo el panorama de forma sencilla y rápida o ampliar información aquí, en la biblioteca de documentos.
¿Te interesa de verdad?
Para los auténticos pro, no te pierdas la serie de eventos de formación y comunicación organizados por el PCI SSC a partir del 21 de junio de 2022. O también puedes consultar con nosotros para plantearnos cualquier duda o pregunta, ¡estaremos encantados de ayudarte!