Trustwave, proveedor líder de soluciones para el cumplimiento en la industria de tarjetas de pago, anuncia la actualización de sus soluciones a la versión 2.0 del estándar Payment Card Industry Data Security Standard (PCI DSS) y Payment Application Data Security Standard (PA DSS), ambos liberados por el Payment Card Industry Security Standards Council (PCI SSC) el pasado 28 de octubre. La nueva versión contiene esclarecimiento de requisitos existentes, provee orientación adicional y revela cambios mínimos en la evolución de requerimientos.
“Luego de una exhaustiva revisión de ambos estándares PCI DSS y PA DSS, notamos que no había cambios significativos que puedan afectar negativamente a nuestros clientes en cumplimiento o a nuestros clientes en proceso cumplimiento”, dijo, Robert J. McCullen, Chairman y CEO de Trustwave. “Apoyamos las decisiones del Consejo y creemos que esta nueva versión ayudará a proveer mayor seguridad de los datos de pago”.
Los cambios en ambos estándares incluyen una mayor alineación entre el PA DSS y el PCI DSS. Además, las modificaciones al Cuestionario de Auto-Evaluación se alinean mejor con los cambios en el PCI DSS ya que le lista de resultados se dividirá en sub-requisitos”.
Luego de analizar las actualizaciones de ambos estándares, Trustwave considera que los siguientes cambios son los más importantes a tener en cuenta:
PCI DSS Versión 2.0
* Definición del alcance del Entorno de Datos del Titular de la Tarjeta (CDE): El PCI SSC clarifica la responsabilidad de la organización sobre el alcance de PCI DSS identificando con exactitud todas las locaciones y flujos de datos del titular de la tarjeta asegurándole que los mismos están incluidos en el PCI DSS.
* Fuentes adicionales para codificación segura en aplicaciones no basadas en Web: El PCI SSC aclara que los recursos adicionales como el Top 25 SANS CWE y CERT Código Seguro, en conjunto con OWASP, pueden ser utilizados como guía de buenas prácticas para la gestión de vulnerabilidades.
PA DSS Versión 2.0
* Facilitación de Registro Centralizado: Perteneciente al requisito 4.4, la nueva versión exigirá que las aplicaciones de pago faciliten al comercio la capacidad de integración de registros en un servidor centralizado para almacenamiento de registros.
* Clarificación de Cifrado: Perteneciente al requisito 2.7, las claves criptográficas almacenadas en versiones anteriores, se tornan ahora irrecuperables.
* Fusión de los requisitos 10 y 11: Esto ayudará en la alineación de PCI DSS y PA DSS.
“Según nuestras investigaciones, estos cambios se alinean con los problemas detectados por nuestros clientes”. Dijo Nicholas J. Percoco, senior Vice Presidente y Director de SpiderLabs, el equipo avanzado de seguridad de Trustwave’s. “La centralización de registros ayudará a las organizaciones a investigar de forma más eficiente cualquier anomalía que indique un intento o violación sobre los datos del titular de tarjeta”
“Estamos muy contentos de ver cambios enfocados a la alineación de PCI y PA DSS, así como la eliminación de requisitos redundantes,” dijo James Paul, senior Vicepresidente de Entrega de Trustwave. “Los cambios ayudarán a clarificar las relaciones y demarcaciones entre las evaluaciones de PCI y PA DSS.”
Para aprender más sobre este y otros cambios claves y cómo esto afecta a los comercios, Trustwave ha almacenado una grabación de su más reciente seminario en línea, “ PCI DSS 2.0: Qué puede esperar? posteado aquí para descargar.
Ambos cambios tendrán efecto el 1 de enero de 2011. La fecha final para los estándares vigentes es el 31 de diciembre de 2011. Cualquier organización en proceso de envío de Reporte de Conformidad o el Reporte de Validación luego del 31 de diciembre de 2011 deberá cumplir con los estándares Versión 2.0.
Para más información sobre PCI DSS y PA DSS, por favor visite: www.pcisecuritystandards.org
