El 31 de marzo de 2025 es la fecha que convirtió en obligatorios todos los requisitos de PCI DSS v4 previamente etiquetados como "con fecha futura". Para muchos comerciantes europeus este plazo pasó desapercibido, mas las consecuencias prácticas são concretas. Las nuevas obrigações modifican como devem gestionarse los pagos online, los call centers e cualquier sistema que interactúe con dados de cartões. La tokenização sigue siendo la forma mais eficaz de absorber estos cambios sin rediseñar toda la infraestrutura.
Los requisitos v4 que se convirtieron en obligatorios en 2025
Los requisitos "con fecha futura" de PCI DSS v4 que se convirtieron en obligatorios en marzo de 2025 afectan a áreas específicas e con alto impacto operativo. El requisito 6.4.3 exige un inventario documentado de todos los scripts JavaScript presentes en las páginas de pago, con mecanismos para verificar su integridade. Esto nace como respuesta a los ataques de e-skimming que afectaron a miles de sitios de e-commerce en años anteriores. El requisito 11.6.1 añade la monitorização continua de las páginas de pago para detectar modificaciones no autorizadas en los scripts e las cabeceras HTTP.
En el ámbito de la autenticação, el requisito 8.4.2 extiende la obligação de MFA a todos los accesos al CDE, incluidos los de redes internas. En el v3.2.1, la MFA era obligatoria principalmente para los accesos remotos. Esta extensión tem un impacto directo en las políticas de acceso a los sistemas de pago internos e en las ferramentas de administração. Los comerciantes que gerem sistemas propios por los que transitan dados de cartões devem revisar sus políticas de autenticação para estar alineados.
El impacto práctico en los comerciantes de e-commerce e MOTO
Para los comerciantes de e-commerce, el requisito mais impactante es el 6.4.3 sobre los scripts. Si el sitio de pago carga bibliotecas JavaScript de terceros, CSS externos o píxeles de seguimiento, cada uno de estos elementos deve censarse e monitorizarse para verificar su integridade. Esto inclui também los scripts de fornecedores como Google Analytics o Meta Pixel si estão presentes en la página de pago. Muchos comerciantes descubren que têm decenas de dependencias externas no documentadas que exigem una revisión completa de su proceso de pago.
Para los comerciantes MOTO (Mail Order/Telephone Order), los nuevos requisitos de MFA impactan en los puestos de los operadores de call center que introducen dados de cartões. Cada acceso al sistema que gere los PAN deve ahora estar protegido por autenticação multifactor. Esto suele requerir una atualização de las plataformas de gestão de encomendas telefónicos e una revisión de los procedimientos operativos de los agentes. La solução mais directa es eliminar completamente los dados de cartões del ambiente del call center usando tecnologías de mascaramento o tokenização en tiempo real.
Como la tokenização absorbe los nuevos requisitos
La tokenização con un fornecedor certificado PCI DSS Level 1 elimina en origen muchos de los problemas creados por los nuevos requisitos v4. Si los dados de la cartão nunca entran en el ambiente del comércio, el requisito 6.4.3 sobre los scripts se aplica a un perímetro muito reducido o no se aplica en absoluto, según la arquitectura del proceso de pago. Con una hosted payment page o un formulário de tokenização gestionado por el fornecedor, las páginas de pago del comércio no contienen scripts que procesen dados de cartões, lo que elimina gran parte de la obligação de monitorização.
Del mismo modo, la extensión de la obligação de MFA al CDE pierde relevancia práctica si el propio CDE se reduz al mínimo o se elimina de la infraestrutura del comércio. Un comércio con arquitectura SAQ A no tem sistemas propios que almacenen, transmitan o procesen dados de cartões: su perímetro de conformidade es limitado e los nuevos requisitos v4 mais onerosos no se aplican. Esto convierte la reducção del âmbito en la estratégia de adaptação al v4 mais conveniente, tanto en términos de custos inmediatos como de cargas recurrentes.
Preguntas frecuentes
Mi adquirente me pedirá PCI DSS v4 de inmediato?
Depende del adquirente e del contrato vigente. Muchos adquirentes europeus estão actualizando ya sus procesos de alta e de renovação anual para solicitar SAQ conformes al v4. Si tem una renovação anual próxima, verifique con su adquirente qué versión del cuestionario se exige. No espere a que sea él quien señale el incumplimiento: el riesgo de sancões contractuales es real.
Tengo que rehacer el SAQ con PCI DSS v4?
Sí, el próximo SAQ que cumplimente deve estar basado en las plantillas v4. Las plantillas SAQ actualizadas estão disponibles en el site web del PCI Security Standards Council. El tipo de SAQ (A, A-EP, B, D, etc.) depende de su arquitectura de aceptação de pagos, no del estándar: si ya utiliza tokenização con hosted fields, podría ya estar en condiciones de optar por el SAQ A mais simple.
Los requisitos v4 se aplican também a los comerciantes de Nivel 4?
Sí. Los comerciantes de Nivel 4 (menos de 20.000 transações de e-commerce anuales o hasta 1 millón de transações de cualquier tipo) estão igualmente sujetos a PCI DSS v4. La diferencia respecto a los niveles superiores se refiere al método de validação (SAQ en lugar de ROC), no a la aplicabilidade del estándar. Los nuevos requisitos v4 se aplican a todos los comerciantes que aceptan cartões de los principales circuitos.
Conformidade PCI DSS v4 sin rediseñar la infraestrutura: la tokenização es el camino mais rápido para la mayoría de los comerciantes. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos