El PCI DSS v4 entró en vigor en marzo de 2022, pero muchos de sus nuevos requisitos se convirtieron en obligatorios solo en marzo de 2025. Para los comercios europeos se trata de una actualización significativa: el estándar introduce más de 60 nuevos requisitos respecto al v3.2.1, con un enfoque reforzado en la autenticación, la monitorización continua y la gestión del riesgo. Quien no se haya adaptado aún está ya fuera de la conformidad.
Las principales novedades de PCI DSS v4 respecto al v3.2.1
El PCI DSS v4 mantiene los 12 requisitos principales del v3.2.1, pero los enriquece con nuevos sub-requisitos y criterios de evaluación actualizados. Las áreas con los cambios más relevantes son la autenticación (requisito 8), la monitorización de los sistemas (requisito 10) y la gestión de vulnerabilidades (requisito 6). El v4 introduce también el concepto de enfoque personalizado: las organizaciones con controles de seguridad maduros pueden demostrar la conformidad con métodos alternativos, siempre que documenten y justifiquen la equivalencia de los controles.
Entre las novedades más impactantes está el requisito de autenticación multifactor (MFA) extendida: en el v4, la MFA se convierte en obligatoria para todos los accesos al CDE, no solo para los accesos remotos como en el v3.2.1. También cambia el enfoque sobre la protección de las páginas de pago: el requisito 6.4.3 exige ahora un inventario y un análisis de integridad de todos los scripts presentes en las páginas de pago, para hacer frente a ataques de tipo e-skimming.
Plazos de PCI DSS v4: qué era obligatorio desde 2024
El PCI DSS v3.2.1 fue retirado el 31 de marzo de 2024: desde esa fecha, todos los informes de conformidad (ROC y SAQ) deben hacer referencia al estándar v4. Los requisitos etiquetados como "con fecha futura" en el v4 original, en cambio, se convirtieron en obligatorios el 31 de marzo de 2025. Estos incluyen los nuevos controles sobre los scripts de las páginas de pago, requisitos reforzados sobre la gestión de contraseñas y criterios actualizados para la monitorización de los registros de seguridad.
Para los comercios europeos, el plazo de 2025 es especialmente relevante porque muchos adquirentes están empezando a solicitar SAQ actualizados al v4 en los procedimientos de alta y de renovación anual. Presentar un SAQ basado en el v3.2.1 ya no es suficiente. El incumplimiento expone a solicitudes de subsanación por parte del adquirente y, en los casos más graves, a la suspensión de la habilitación para aceptar tarjetas.
Cómo adaptarse a PCI DSS v4 sin grandes inversiones
El camino más eficiente para la mayoría de los comercios pasa por la reducción del perímetro de conformidad. Si los datos de la tarjeta no transitan por los sistemas de la empresa, muchos de los nuevos requisitos v4 no se aplican. La tokenización con un proveedor certificado PCI DSS Level 1 traslada la responsabilidad de la protección de los datos de la tarjeta fuera del perímetro empresarial. Esto no elimina todas las obligaciones, pero reduce drásticamente el número de sistemas, procesos y personas que forman parte del CDE.
Un comercio de e-commerce que integra un sistema de tokenización antes del pago puede bajar típicamente al SAQ A, el cuestionario de autoevaluación más sencillo, con menos de 50 requisitos frente a los más de 200 del SAQ D. Esta reducción impacta directamente en los costes de conformidad anuales: menos análisis de vulnerabilidades, menos sistemas que monitorizar, pruebas de penetración sobre un perímetro reducido. Con PCI DSS v4, la reducción del alcance resulta aún más ventajosa que en el pasado.
Preguntas frecuentes
¿PCI DSS v4 ya es obligatorio?
Sí. El PCI DSS v3.2.1 fue retirado el 31 de marzo de 2024. Desde esa fecha, todos los informes de conformidad deben referirse al v4. Los requisitos "con fecha futura" del v4 se convirtieron en obligatorios el 31 de marzo de 2025. Un comercio que hoy presenta un SAQ basado en el v3.2.1 ya no es considerado conforme por los adquirentes.
¿Cuántos requisitos tiene PCI DSS v4?
El PCI DSS v4 mantiene los 12 requisitos principales, pero introduce más de 60 nuevos sub-requisitos respecto al v3.2.1, llevando el total general de controles a más de 300 para las empresas con CDE complejo. El número efectivo de requisitos aplicables a un solo comercio depende del tipo de integración y del SAQ de referencia.
¿Cómo cambia el SAQ con PCI DSS v4?
Las plantillas SAQ han sido actualizadas al v4 con nuevas preguntas, criterios de prueba revisados y requisitos adicionales. El SAQ A, el correspondiente a comercios con alcance mínimo, ha sufrido cambios relativamente contenidos. El SAQ D, que se aplica a los comercios con CDE completo, incluye los nuevos requisitos sobre MFA, monitorización de scripts y gestión de vulnerabilidades. Es aconsejable verificar con el propio adquirente qué versión del SAQ se requiere para la renovación.
Adaptarse a PCI DSS v4 partiendo de la infraestructura de tokenización es el camino más rápido y económico para la mayoría de los comercios. Descubra PCI Proxy EU.