El PCI DSS v4 entró en vigor en marzo de 2022, mas muchos de sus nuevos requisitos se convirtieron en obligatorios apenas en marzo de 2025. Para los comerciantes europeus se trata de una atualização significativa: el estándar introduce mais de 60 nuevos requisitos respecto al v3.2.1, con un enfoque reforzado en la autenticação, la monitorização continua e la gestão del riesgo. Quien no se haya adaptado aún está ya fuera de la conformidade.
Las principales novedades de PCI DSS v4 respecto al v3.2.1
El PCI DSS v4 mantiene los 12 requisitos principales del v3.2.1, mas los enriquece con nuevos sub-requisitos e criterios de evaluação actualizados. Las áreas con los cambios mais relevantes são la autenticação (requisito 8), la monitorização de los sistemas (requisito 10) e la gestão de vulnerabilidades (requisito 6). El v4 introduce também el concepto de enfoque personalizado: las organizaciones con controles de segurança maduros podem demostrar la conformidade con métodos alternativos, sempre que documenten e justifiquen la equivalencia de los controles.
Entre las novedades mais impactantes está el requisito de autenticação multifactor (MFA) extendida: en el v4, la MFA se convierte en obligatoria para todos los accesos al CDE, no apenas para los accesos remotos como en el v3.2.1. También cambia el enfoque sobre la proteção de las páginas de pago: el requisito 6.4.3 exige ahora un inventario e un análise de integridade de todos los scripts presentes en las páginas de pago, para fazer frente a ataques de tipo e-skimming.
Prazos de PCI DSS v4: qué era obligatorio desde 2024
El PCI DSS v3.2.1 foi retirado el 31 de marzo de 2024: desde esa fecha, todos los informes de conformidade (ROC e SAQ) devem fazer referência al estándar v4. Los requisitos etiquetados como "con fecha futura" en el v4 original, en cambio, se convirtieron en obligatorios el 31 de marzo de 2025. Estos incluyen los nuevos controles sobre los scripts de las páginas de pago, requisitos reforzados sobre la gestão de contraseñas e criterios actualizados para la monitorização de los registros de segurança.
Para los comerciantes europeus, el plazo de 2025 es especialmente relevante porque muchos adquirentes estão empezando a solicitar SAQ actualizados al v4 en los procedimientos de alta e de renovação anual. Presentar un SAQ basado en el v3.2.1 ya no es suficiente. El incumplimiento expone a solicitudes de subsanação por parte del adquirente y, en los casos mais graves, a la suspensión de la habilitação para aceptar cartões.
Como adaptarse a PCI DSS v4 sin grandes inversiones
El camino mais eficiente para la mayoría de los comerciantes pasa por la reducção del perímetro de conformidade. Si los dados de la cartão no transitan por los sistemas de la empresa, muchos de los nuevos requisitos v4 no se aplican. La tokenização con un fornecedor certificado PCI DSS Level 1 traslada la responsabilidade de la proteção de los dados de la cartão fuera del perímetro empresarial. Esto no elimina todas las obrigações, mas reduz drásticamente el número de sistemas, procesos e personas que forman parte del CDE.
Un comércio de e-commerce que integra un sistema de tokenização antes del pago pode bajar tipicamente al SAQ A, el cuestionario de autoavaliação mais simple, con menos de 50 requisitos frente a los mais de 200 del SAQ D. Esta reducção impacta directamente en los custos de conformidade anuales: menos análise de vulnerabilidades, menos sistemas que monitorizar, testes de penetração sobre un perímetro reducido. Con PCI DSS v4, la reducção del âmbito resulta aún mais ventajosa que en el pasado.
Preguntas frecuentes
PCI DSS v4 ya es obligatorio?
Sí. El PCI DSS v3.2.1 foi retirado el 31 de marzo de 2024. Desde esa fecha, todos los informes de conformidade devem referirse al v4. Los requisitos "con fecha futura" del v4 se convirtieron en obligatorios el 31 de marzo de 2025. Un comércio que hoy presenta un SAQ basado en el v3.2.1 ya no es considerado conforme por los adquirentes.
Cuántos requisitos tem PCI DSS v4?
El PCI DSS v4 mantiene los 12 requisitos principales, mas introduce mais de 60 nuevos sub-requisitos respecto al v3.2.1, llevando el total general de controles a mais de 300 para las empresas con CDE complexo. El número efectivo de requisitos aplicables a un apenas comércio depende del tipo de integração e del SAQ de referência.
Como cambia el SAQ con PCI DSS v4?
Las plantillas SAQ han sido actualizadas al v4 con nuevas preguntas, criterios de prueba revisados e requisitos adicionales. El SAQ A, el correspondiente a comerciantes con âmbito mínimo, ha sufrido cambios relativamente contenidos. El SAQ D, que se aplica a los comerciantes con CDE completo, inclui los nuevos requisitos sobre MFA, monitorização de scripts e gestão de vulnerabilidades. Es aconsejable verificar con el propio adquirente qué versión del SAQ se exige para la renovação.
Adaptarse a PCI DSS v4 partiendo de la infraestrutura de tokenização es el camino mais rápido e económico para la mayoría de los comerciantes. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos