Su empresa u Organización deberá llevar a cabo Evaluaciones del Cumplimiento de PCI-DSS (denominadas incorrectamente como "Auditorías de PCI-DSS") de forma periódica si procesa datos de medios de pago electrónicos, bien como autorregulación o por terceros con un Qualified Security Assessor (QSA). Debido a la cantidad de trabajo adicional que se genera por las auditorías, muchos CTOs/CISOs intentan evadirlas indicando en los cuestionarios de terceros que no procesan ningún dato, salvo que se les ordene de una tercera parte que conozca cómo funciona el negocio realmente.
De ahí la gran importancia que tiene para su Organización, poder obtener la Certificación PCI-DSS para generar un ambiente de seguridad para su empresa y terceros en cuanto al manejo y procesamiento de los datos sensibles de medios de pagos electrónicos, siendo un incentivo que puede posicionar a su Organización como responsable, seria y confiable en todos los procesos implicados.
En CS3 Group nuestro equipo de profesionales puede ayudarle a su Organización a satisfacer todos los requisitos técnicos, organizativos, regulatorios y normativos que se requieran para ello, realizando una pre-evaluación de la norma y acompañándoles a dicha Certificación realizada por una Entidad Homologada.
Poder contar con una visión externa objetiva y confiable, que le ofrecerá a su Organización, una nueva perspectiva de los sistemas con los que su propio personal puede estar demasiado familiarizado, lo que en la mayoría de ocasiones como hemos comprobado, les impide realizar evaluaciones imparciales. Además, se aportará una experiencia basada en casos y situaciones reales, donde nuestros profesionales ya se han encontrado antes los mismos problemas, que le permitirán aportar beneficios desde el principio del proyecto.
Cualquier evaluación de cumplimiento puede demostrar que su Organización cumple de forma sistemática con sus obligaciones de Ciberseguridad que le son requeridas.
El Consejo de Seguridad de los estándares PCI (PCI SCC) publicó el 31 de marzo de 2022 la última actualización. PCI DSS v4.0 cambia el enfoque del estándard a requisitos basados en resultados. Los requisitos se han rediseñado para centrarse en los objetivos de seguridad para guiar cómo se deben implementar los controles de seguridad. Presenta una opción alternativa para cumplir con el cumplimiento: la implementación personalizada. La implementación personalizada considera la intención del objetivo y permite que las entidades diseñen sus propios controles de seguridad para cumplirlo. Tiene requisitos de autenticación más estrictos y considera una aplicabilidad más amplia para cifrar datos de titulares de tarjetas, y ahora se expande en redes confiables.
Desde la actualización de la versión 4.0 el 31 de marzo de 2022 hasta junio de 2022, se procederá a su traducción en diferentes idiomas.
Siempre y cuando se trate de una transición a la nueva versión, PCI DSS v3.2.1 seguirá permaneciendo en activo durante dos años tras la publicación de la versión 4.0, periodo que finalizará el 31 de marzo de 2024, para que las organizaciones tengan el suficiente tiempo para familiarizarse con los cambios.
A partir del el 31 de marzo de 2024 la única versión válida será la v4.0 quedando obsoleta la v3.2.1 a todos los efectos.