Para los proveedores de servicios financieros, habilitar pagos convenientes y sin problemas, manteniendo segura la información confidencial del cliente es primordial. En 2006, un grupo de proveedores fundó el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago, un foro global destinado a desarrollar y mantener pautas y estándares para asegurar los pagos y los datos del titular de la tarjeta. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) del consejo recopila estas pautas y sirve como una referencia importante para las organizaciones de servicios financieros que buscan cumplir con PCI DSS en medio de una creciente ola de ciberamenazas.
En marzo de 2024, la versión 4.0 de PCI DSS entró en vigor. Si bien algunos requisitos de la versión 4.0 entraron en vigor de inmediato, la mayoría no serán exigibles hasta el 31 de marzost de 2025. Esto significa que, para las empresas de servicios financieros que aún necesitan claridad sobre los requisitos y cómo cumplirlos, quedan meses valiosos para fortalecer y modernizar su infraestructura de seguridad.
Este blog tiene como objetivo responder a las preguntas más importantes sobre PCI DSS 4.0, incluyendo:
- ¿Cuáles son los objetivos de esta actualización?
- ¿Cómo impactan los requisitos actualizados a la autenticación?
- ¿Cómo puede una solución de identidad moderna como Okta ayudar a respaldar los requisitos relacionados con la identidad que contiene PCI DSS?
¿Cuáles son los objetivos de PCI DSS 4.0?
PCI DSS 4.0 se desarrolló para promover el objetivo declarado del Consejo de Estándares de Seguridad de PCI de mantener segura la información confidencial del consumidor dentro del contexto del uso de tarjetas de pago en entornos digitales. Si bien las versiones anteriores de PCI DSS estaban llenas de rigurosos estándares y reglas para la seguridad de los pagos, el cambio dramático hacia el comercio electrónico durante y después de la COVID-19 expuso vulnerabilidades persistentes que debían abordarse, especialmente en un entorno caracterizado por el aumento de los ataques cibernéticos.
Los objetivos de PCI DSS 4.0 se dividen en cuatro categorías amplias.
| OBJETIVOS DE PCI DSS 4.0 | |||
Satisfacer las necesidades de seguridad de la industria de pagos | Promover la seguridad como un proceso continuo | Aumentar la flexibilidad para los diferentes métodos para lograr la seguridad. | Mejorar los métodos y procedimientos de validación |
El panorama de amenazas ha cambiado drásticamente en los últimos años, lo que significa que el PCI DSS debe adaptarse utilizando requisitos nuevos y/o ampliados relacionados con la autenticación multifactor (MFA), las contraseñas, el comercio electrónico y la resistencia al phishing. | La seguridad eficaz no es una tarea que se realiza una sola vez; es una práctica continua. PCI DSS tiene como objetivo abordar esto a través de requisitos detallados (cada uno con roles y responsabilidades claramente asignados) y una guía sólida sobre la implementación. | Permitir diferentes caminos hacia una seguridad más sólida impulsa la innovación y la adopción generalizada. PCI DSS tiene como objetivo respaldar estos objetivos a través de análisis de riesgos específicos, enfoques personalizados y opciones adicionales para cumplir con los objetivos de seguridad a través de métodos innovadores. | Las opciones claras de validación e informes aseguran la transparencia y la precisión granular de los proveedores de servicios financieros. PCI DSS tiene como objetivo aumentar la alineación entre la infraestructura de seguridad de las organizaciones y la imagen completa de esa infraestructura en manos de las autoridades reguladoras. |
¿Cómo se han actualizado los requisitos de autenticación?
Un área de cambio significativo dentro de PCI DSS 4.0 se refiere a la autenticación: garantizar que un usuario dado sea quien dice ser y permitir el acceso a materiales confidenciales en consecuencia. Este es un resumen de alto nivel de los principales cambios relacionados con la autenticación contenidos dentro del PCI DSS 4.0 actualizado.
- La MFA ahora es un requisito para las redes internas y externas.
- La longitud mínima de las contraseñas ahora es de 12 (en comparación con el mínimo anterior de 7).
- En ausencia de capacidades de MFA, las contraseñas ahora deben actualizarse cada 90 días para mitigar la amenaza del robo de credenciales.
- Ahora se permiten cuentas compartidas y genéricas para las organizaciones que han implementado la administración de acceso con privilegios.
Una mirada más de cerca: Requisito 8 y MFA
PCI DSS 4.0 contiene 13 requisitos generales, uno de los cuales se centra exclusivamente en la identidad. El requisito No. 8 obliga a las organizaciones a asignar una identidad única a cada “persona con acceso”, garantizando que las acciones relacionadas con los datos y sistemas críticos sean realizadas por usuarios conocidos y autorizados, y que se puedan rastrear hasta ellos.
A menos que se indique lo contrario, estos requisitos se aplican a todas las cuentas, incluidos los puntos de venta, las cuentas administrativas y todas las cuentas utilizadas para ver o acceder a los datos de la cuenta de pago. Estos requisitos no se aplican a las cuentas utilizadas por los consumidores (titulares de tarjetas).
Okta es compatible con el cumplimiento de todos los aspectos del Requisito 8. De hecho, para cada subsección, Okta tiene al menos una capacidad que admite una autenticación más sólida y segura.
Subsección | Requisito | Capacidades y beneficios de Okta |
8.1 | Se definen y comprenden los procesos y mecanismos para identificar a los usuarios y autenticar el acceso a los componentes del sistema. | Okta Identity Governance proporciona una solución unificada que mejora la postura de seguridad de una organización al tiempo que mejora el gobierno del acceso, lo que ayuda a garantizar que los usuarios correctos puedan acceder a los recursos correctos en el momento correcto. Muchas empresas no tienen transparencia en lo que se refiere a la expansión de la identidad y el acceso en su organización. Eso dificulta que los equipos de seguridad verifiquen si los controles se implementan correctamente porque carecen de una visibilidad profunda y un análisis de riesgos en los complejos entornos de nube y SaaS. Esta es la razón por la que Okta ha presentado Okta Identity Security Posture Management. |
8.2 | La identificación de usuarios y las cuentas relacionadas para usuarios y administradores se gestionan estrictamente durante todo el ciclo de vida de una cuenta. | Okta Lifecycle Management automatiza el aprovisionamiento/desaprovisionamiento de usuarios en aplicaciones y directorios en la nube para administrar la identidad y el acceso de los usuarios en una ubicación central. |
8.3 | Se establece y administra una autenticación sólida para usuarios y administradores. | Adaptive MFA utiliza la autenticación sólida para proteger el acceso a los recursos con dos o más factores de autenticación de alta seguridad, incluidos los factores resistentes al phishing, lo que permite a las organizaciones aplicar de forma flexible sus políticas de autenticación para satisfacer sus necesidades y requisitos. |
8.4 | La Autenticación Multifactor (MFA) se implementa para asegurar el acceso al entorno de datos del titular de la tarjeta (CDE). | |
8.5 | Los sistemas MFA están configurados para evitar el uso indebido. | |
8.6 | El uso de cuentas de aplicaciones y sistemas y los factores de autenticación asociados se gestionan estrictamente. |
Foco en la capacidad: Okta Privileged Access Management
Para respaldar los objetivos duales de fortalecer la seguridad y permitir métodos más flexibles para lograr esa fortaleza, PCI DSS 4.0 permite a las organizaciones crear cuentas genéricas y de grupo compartidas siempre y cuando hayan implementado la gestión de acceso privilegiado.
Okta Privileged Access permite a los administradores de seguridad controlar el acceso exclusivo a recursos privilegiados como servidores. También le permite limitar el uso de cuentas compartidas, proporcionar acceso elevado durante un período de tiempo específico y utilizar certificados efímeros en lugar de ID de usuario y contraseñas. Además, puede extender la Autenticación Multifactor (MFA) como parte de la política para acceder a estos recursos. Esta capa de seguridad basada en la identidad permite determinar la responsabilidad individual dentro de las cuentas privilegiadas compartidas, lo que respalda una seguridad mejorada para esos recursos privilegiados.
Visibilidad de la capacidad: Okta Identity Security Posture Management
La expansión de la identidad y el acceso se ha convertido en una superficie de ataque expansiva y no administrada, plagada de usuarios parcialmente desvinculados, identidades sobreaprovisionadas y permisos no utilizados y riesgosos.
Esta precaria realidad expone a las organizaciones al acceso malicioso a través del phishing, así como a las credenciales robadas y a las adquisiciones de cuentas, lo que agota el tiempo y los recursos de los equipos de seguridad encargados de protegerlas.
Nuestra solución es una oferta única y optimizada que automatiza la visibilidad, la gestión y la corrección de la identidad. Esto ofrece una “ventanilla única” para identificar y priorizar el riesgo de la identidad. Además, las capacidades de contextualización incomparables del producto vinculan todas las cuentas de usuario a sus privilegios, actividades y etapas requeridas en el ciclo de vida del empleado para mitigar las amenazas y ayudar a garantizar el cumplimiento. Esto incluye la identificación de cuentas que tienen acceso elevado y aquellas que no tienen MFA configurada.
Okta: su arma secreta para mantenerse al día con los cambios regulatorios
Los proveedores de servicios financieros tienen hasta el 31 de marzost de 2025 para cumplir con los requisitos anteriores, lo que significa que no queda mucho tiempo para avanzar en la madurez de su infraestructura de seguridad en todos los ámbitos. Las soluciones de Okta pueden jugar un papel fundamental en este avance, asegurando y modernizando su función de identidad para cumplir con los estándares de la industria y mantener segura la información del cliente.
Si está buscando orientación sobre cómo mejorar su madurez de identidad, póngase en contacto con nuestro equipo para una evaluación.
Aviso legal: estos materiales y cualquier recomendación que contengan no constituyen asesoramiento legal, de privacidad, de seguridad, de cumplimiento o empresarial. Estos materiales tienen únicamente fines informativos generales y es posible que no reflejen los desarrollos legales, de privacidad y de seguridad más actuales ni todos los problemas relevantes. Usted es responsable de obtener asesoramiento legal, de seguridad, de privacidad, de cumplimiento o empresarial de su propio abogado u otro asesor profesional y no debe confiar en las recomendaciones contenidas en este documento. Okta no es responsable ante usted por cualquier pérdida o daño que pueda resultar de su implementación de cualquier recomendación en estos materiales. Okta no ofrece representaciones, garantías ni otras garantías con respecto al contenido de estos materiales. La información sobre las garantías contractuales de Okta a sus clientes se puede encontrar en okta.com/agreements.
