La versión más reciente del PCI DSS (v4.0) se publicó en marzo de 2022. Enumera estos 12 requisitos para proteger los datos de los titulares de tarjetas. Las organizaciones deben aplicar estos requisitos antes del 31 de marzo de 2025 para lograr el cumplimiento.

Instalar y mantener controles de seguridad de red

Los controles de seguridad de red (NSC) pueden incluir cortafuegos, dispositivos virtuales, sistemas de contenedores, sistemas de seguridad en la nube y otras tecnologías que controlan el acceso a los sistemas y datos.

Aplique configuraciones seguras a todos los componentes del sistema

Las contraseñas predeterminadas y otras configuraciones predeterminadas del sistema suministradas por los proveedores no deben utilizarse. ya que son vulnerables a los ciberataques.

Proteja los datos almacenados de los titulares de tarjetas

A menos que sea necesario para las necesidades del negocio, las organizaciones no deben almacenar datos de los titulares de tarjetas. En dado caso, debe hacerse ilegible mediante cifrado, enmascaramiento u otros medios.

Proteja los datos de los titulares de tarjetas con criptografía sólida durante la transmisión a través de redes públicas abiertas

Para evitar que los hackers accedan a información confidencial, como números de tarjetas e información de identificación personal (PII), los datos deben cifrarse antes y/o durante las transmisiones de redes públicas.

Proteja todos los sistemas y redes del software malicioso

Mantenga un software antivirus y otras defensas contra programas maliciosos, como spyware, keyloggers, ransomware, scripts y otros virus.

Desarrolle y mantenga sistemas y software seguros

Al aplicar los últimos parches de seguridad y adherirse a prácticas seguras al desarrollar aplicaciones, las organizaciones pueden ayudar a minimizar el riesgo de filtraciones de datos.

Restrinja el acceso a los componentes de los sistemas y a los datos de los titulares de tarjetas según las necesidades empresariales

Las medidas estrictas de control de acceso deberían garantizar que los usuarios autorizados vean solo la información necesaria de los titulares de tarjetas para realizar su trabajo.

Identifique a los usuarios y autentique el acceso a los componentes del sistema

Se debe asignar una identificación única con datos de autenticación rastreables a cada persona con acceso informático a sistemas y datos confidenciales.

Restrinja el acceso físico a los datos de los titulares de tarjetas

Para evitar que personas no autorizadas eliminen hardware o copias impresas que contengan datos de titulares de tarjetas, se debe restringir el acceso físico a los sistemas.

Registre y monitoree todos los accesos a los componentes del sistema y a los datos de titulares de tarjetas

La capacidad de automatizar el registro y el monitoreo de sistemas y datos confidenciales puede ayudar a detectar actividades sospechosas y respaldar el análisis forense después de una violación.

Pruebe la seguridad de los sistemas y redes con regularidad

Debido a que los delincuentes cibernéticos buscan continuamente nuevas vulnerabilidades en entornos de TI cambiantes, deben realizarse pruebas de penetración y análisis de vulnerabilidades con regularidad.

Apoye la seguridad de la información con políticas y programas de la organización

Las organizaciones deben crear una política integral de seguridad de la información que describa los procedimientos para identificar y gestionar los riesgos, la educación continua sobre la seguridad y el cumplimiento de los PCI DSS.