PCI DSS v4.0 representa la revisión mais significativa del Payment Card Industry Data Security Standard desde su creação. Publicada por el PCI Security Standards Council en marzo de 2022, esta versión introduce 64 nuevos requisitos, 13 de los cuales se aplican a todas las entidades e 51 específicamente a los fornecedores de serviços. Tras un período de transição de dos años, la v3.2.1 foi retirada oficialmente el 31 de marzo de 2024, e los requisitos restantes con fecha futura se convirtieron en obligatorios el 31 de marzo de 2025. Para los comerciantes europeus, esta atualização llega en un momento en que el panorama normativo ya es complexo, con RGPD, PSD2 e leyes nacionales de proteção de dados en evolução que se intersectan con las obrigações de segurança de los pagos.
- PCI DSS v4.0 introdujo 64 nuevos requisitos: todos obligatorios desde el 31 de marzo de 2025, con la v3.2.1 retirada en marzo de 2024.
- La MFA ahora es obligatoria para todos los accesos al CDE (no apenas remotos), e los scripts de e-commerce devem inventariarse e monitorizarse para verificar su integridade.
- Los comerciantes europeus afrontan una doble exposição: los requisitos de PCI DSS v4.0 se suman a las obrigações RGPD, PSD2 e SCA ya existentes.
Panorama general de PCI DSS v4.0
El PCI Security Standards Council diseñó la v4.0 en torno a cuatro objetivos principales: garantir que el estándar siga satisfaciendo las necesidades de segurança del setor de los pagos, añadir flexibilidade para las organizaciones que utilizan métodos distintos para alcanzar la segurança, promover la segurança como proceso continuo en lugar de como ejercicio puntual, e mejorar los métodos e procedimientos de validação. El estándar contiene ahora 12 requisitos principales (invariados respecto a la v3.2.1), mas con sub-requisitos sustancialmente ampliados, guías mais prescriptivas e nuevas áreas de atenção que reflejan la evolução de la tecnología de los pagos desde la última versión principal publicada en 2016.
Uno de los cambios estructurales mais importantes es la introducção del Enfoque Personalizado (Customized Approach), que se suma al Enfoque Definido tradicional. En lugar de prescribir controles específicos, el Enfoque Personalizado permite a las organizaciones definir sus propios controles de segurança, sempre que puedan demostrar que dichos controles cumplen el objetivo de segurança declarado de cada requisito. Esto es poderoso, mas exige una documentação, testes e participação del evaluador significativamente mayores.
Cambios Clave que Impactan a los Comerciantes Europeus
1. Enfoque Personalizado frente a Enfoque Definido
Con la v3.2.1, todas las organizaciones seguían el mismo conjunto de controles prescriptivos. La v4.0 introduce una bifurcação: se pode continuar con el Enfoque Definido (el método tradicional, con controles específicos a implementar) o elegir el Enfoque Personalizado, onde se diseñan controles que alcanzan el mismo resultado de segurança, mas de una forma adaptada al ambiente específico. El Enfoque Personalizado exige un Análise de Riesgo Específico para cada control personalizado, evidencias documentadas de que el control cumple el objetivo del requisito, e la validação por parte de un Qualified Security Assessor (QSA) con experiência en esta metodología. Para la mayoría de los comerciantes europeus de tamaño medio, el Enfoque Definido sigue siendo la opção práctica.
2. Requisitos de Autenticação Reforzados
La Autenticação Multifactor (MFA) ahora es obligatoria para todos los accesos al Cardholder Data Environment (CDE), no apenas para el acceso remoto. Con la v3.2.1, la MFA apenas era obligatoria para el acceso administrativo no de consola e para el acceso remoto al CDE. La v4.0 extiende esto a todas las cuentas que podem acceder al CDE, incluido el acceso local a la consola e las cuentas de serviço onde sea técnicamente viable. Para los comerciantes europeus, esto significa revisar cada sistema con acceso a los dados de las cartões e asegurarse de que la MFA está implementada de forma completa. Los requisitos de contraseña também se han reforzado: la longitud mínima aumenta de 7 a 12 caracteres, e las contraseñas devem cambiarse cada 90 días o las organizaciones devem implementar un análise dinámico de segurança de la cuenta.
3. Nuevos Requisitos para el E-Commerce e la Integridade de los Scripts
El Requisito 6.4.3 es una de las incorporaciones mais impactantes para los comerciantes de e-commerce. Impone que todos los scripts de las páginas de pago cargados e ejecutados en el navegador del consumidor devem gestionarse, es decir, autorizarse, verificar su integridade e inventariarse. Esto apunta directamente a los ataques a la cadena de suministro como Magecart, onde se inyecta JavaScript malicioso en las páginas de pago para robar los dados de las cartões. Los comerciantes de e-commerce europeus devem implementar cabeceras Content Security Policy (CSP) o una solução de gestão de scripts que monitorice los cambios en los scripts de las páginas de pago e alerte sobre modificaciones no autorizadas. El Requisito 11.6.1 complementa esto al exigir mecanismos de detecção de cambios e manipulaciones en las páginas de pago que avisen en caso de modificaciones no autorizadas en las cabeceras HTTP e el contenido de los scripts.
Requisito de alto impacto
Los Requisitos 6.4.3 e 11.6.1 sobre la integridade de los scripts são uno de los cambios técnicamente mais exigentes para los comerciantes de e-commerce. Muchas organizaciones aún no estão equipadas para inventariar e monitorizar todos los JavaScript que se ejecutan en sus páginas de pago. Comience a planificar con tiempo; la implementação retroactiva bajo presión temporal es costosa e propensa a errores.
4. Requisitos de Análise de Riesgo Específico
La v4.0 substitui la evaluação de riesgo general anual por un Análise de Riesgo Específico (Targeted Risk Analysis, TRA) mais estructurado. En lugar de una única evaluação monolítica del riesgo, los comerciantes ahora realizan análise específicos para requisitos concretos: determinar la frecuencia de las revisiones de registros, el intervalo para los análise de vulnerabilidades o el calendario de rotação de claves criptográficas. Cada TRA deve documentar el panorama específico de amenazas, los activos en riesgo, la probabilidade e impacto de una vulneração, e la lógica detrás de la frecuencia o configuração del control elegido. Los resultados de la TRA devem revisarse al menos anualmente e actualizarse quando el ambiente de amenazas cambie.
5. Estándares de Encriptação Actualizados
PCI DSS v4.0 endurece los requisitos relativos a los protocolos criptográficos e los conjuntos de encriptação. TLS 1.0 e 1.1, que ya eran desaconsejados, ahora estão explícitamente prohibidos. Todas las conexiones cifradas devem usar TLS 1.2 o superior con conjuntos de encriptação robustos. Los certificados devem ser válidos e de confianza, e los certificados wildcard devem justificarse. Los requisitos de gestão de claves ahora incluyen procedimientos documentados de rotação de claves criptográficas, e las organizaciones devem ser capaces de demostrar que disponen de un inventario de todas las claves criptográficas utilizadas para proteger los dados de los titulares de cartões, incluidas las fechas de vencimiento e los calendarios de renovação.
6. Registro e Monitorização Ampliados
Los requisitos de registro se han ampliado sustancialmente. Las organizaciones ahora devem implementar mecanismos de revisión automatizada de los registros de auditoría; las revisiones manuales por sí solas ya no são aceptables para cumprir el Requisito 10. Las entradas de registro devem capturar campos adicionales, entre los que se incluyen la identidade del utilizador, el tipo de evento, la fecha e hora, la indicação de éxito o fracaso, el origen del evento e la identidade o nombre del dato, componente del sistema o recurso afectado. La generação de alertas en tiempo real es obligatoria para eventos críticos, e los registros devem estar protegidos de modificaciones no autorizadas mediante mecanismos de monitorização de la integridade.
La Dimensión Europeia: la Intersecção con el RGPD
Los comerciantes europeus operan bajo un doble marco normativo: PCI DSS para la segurança de las cartões de pago e RGPD para la proteção de dados personales. PCI DSS v4.0 crea varios puntos de alineação e ocasionales tensiones con el RGPD. En el lado positivo, los requisitos mejorados de registro e monitorização apoyan la obligação de notificação de vulneração en 72 horas del RGPD al mejorar las capacidades de detecção. El énfasis en el acceso basado en roles, el principio de mínimo privilegio e la minimização de dados se alinea bien con los principios de proteção de dados del RGPD.
Sin embargo, podem surgir fricciones en torno a la retenção de dados. PCI DSS impone la conservação de los registros de auditoría durante al menos 12 meses, enquanto que el RGPD exige que los dados personales no se conserven mais tiempo del necesario. Si los registros de auditoría contienen dados personales (nombres de utilizador, direcciones IP, identificadores de transações), las organizaciones devem reconciliar estos requisitos concurrentes, tipicamente através de la clasificação de dados e políticas de retenção específicas que satisfagan ambos estándares.
Prazos e Fechas Límite
La transição a PCI DSS v4.0 siguió un calendario estructurado. La v4.0 se publicó en marzo de 2022. Desde ese momento, las organizaciones podían validarse tanto con la v3.2.1 como con la v4.0. El 31 de marzo de 2024, la v3.2.1 foi retirada oficialmente; todas las evaluaciones desde esa fecha devem usar la v4.0. Sin embargo, reconociendo el âmbito de algunos cambios, el Council designó 51 requisitos como "con fecha futura", es decir, eran buenas prácticas durante 2024, mas se convirtieron en obligatorios el 31 de marzo de 2025.
Fechas clave
- Marzo 2022: PCI DSS v4.0 publicado
- 31 de marzo de 2024: v3.2.1 retirada, v4.0 obligatoria para todas las evaluaciones
- 31 de marzo de 2025: Todos los requisitos con fecha futura pasan a ser obligatorios
Como PCI Proxy Ayuda con la Conformidade v4.0
La estratégia mais eficaz para gerir la complejidade de PCI DSS v4.0 es minimizar el ambiente que entra en el âmbito. PCI Proxy logra esto eliminando completamente los dados de las cartões de su infraestrutura. Cuando los PAN sin processar nunca entran en os seus servidores, bases de dados ni registros de aplicaciones, la gran mayoría de los requisitos v4.0 simplemente no se aplica a su ambiente. Los nuevos requisitos sobre integridade de scripts (6.4.3 e 11.6.1) se vuelven significativamente mais fáciles de gerir quando sus páginas de pago utilizan los secure fields de PCI Proxy: los dados de la cartão se capturan en un iframe isolado alojado en el ambiente de PCI Proxy, lo que significa que los scripts de su página nunca têm acceso a los números de cartão sin processar.
Los requisitos de autenticação reforzados se vuelven mais limitados en su âmbito porque menos sistemas têm acceso a los dados de los titulares de cartões. Las obrigações de registro e monitorização se simplifican porque há menos sistemas que monitorizar; el vault de PCI Proxy gere su propio registro de auditoría dentro de un ambiente certificado de Nivel 1. En términos prácticos, la tokenização mediante PCI Proxy pode reduzir su ámbito de evaluação de SAQ D (mais de 300 controles) a SAQ A o SAQ A-EP (menos de 30 controles), haciendo que la conformidade v4.0 sea alcanzable incluso para organizaciones con recursos de segurança limitados.
Checklist de Preparação para los Comerciantes
Los comerciantes europeus devem utilizar la siguiente checklist para evaluar su preparação para PCI DSS v4.0:
Realizar un análise de brechas comparando los controles actuales con los requisitos v4.0
Determinar si el Enfoque Definido o el Personalizado es el apropiado para su organização
Implementar MFA para todos los accesos al CDE, incluidos la consola local e las cuentas de serviço
Inventariar e autorizar todos los scripts en las páginas de pago; implementar cabeceras CSP o monitorização equivalente
Actualizar las políticas de contraseñas a un mínimo de 12 caracteres e implementar la revisión automatizada de registros
Completar los Análise de Riesgo Específicos para todos los requisitos que hacen referência a la TRA
Asegurarse de que todas las conexiones cifradas usen TLS 1.2+ e inventariar todas las claves criptográficas
Evaluar la reducção del âmbito mediante tokenização: mover los dados de las cartões completamente fuera de su ambiente
Conclusão
PCI DSS v4.0 es la atualização mais sustancial del estándar en su historia. Para los comerciantes europeus, la combinação de nuevos requisitos técnicos, la intersecção con el RGPD e el giro hacia la monitorização continua de la segurança crea un panorama de conformidade complexo. Sin embargo, el paso mais impactante que cualquier comércio pode dar es reduzir el âmbito de su Cardholder Data Environment. Eliminando los dados sin processar de las cartões de su infraestrutura mediante la tokenização, se elimina el ambiente en el que se aplica la mayoría de los requisitos v4.0, transformando una evaluação de mais de 300 controles en una manejable de 30 controles.
Los prazos de transição han pasado e la conformidade ya no es opcional. Tanto si acaba de iniciar su camino hacia la v4.0 como si está perfeccionando un programa existente, el momento de actuar es ahora. Evalúe su âmbito actual, identifique las brechas e considere si una arquitectura PCI Proxy pode simplificar su camino hacia la conformidade.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos