PCI SSC antecipa detalhes da nova versão do PCI DSS

Texto traduzido e adaptado de “PCI DSS: Looking Ahead to Version 4.0“, originalmente escrito por Laura K. Gray.

No último dia 6 de março, o PCI SSC – Payment Card Industry Security Standards Council anunciou que a versão 4.0 do PCI Data Security Standard já está em andamento. Nesta nova versão foram determinadas algumas metas, dentre elas:

  • Garantir que o padrão continue atendendo às necessidades de segurança do setor de pagamentos;
  • Adicionar mais flexibilidade e suporte para metodologias adicionais para atingir segurança;
  • Promover segurança como um processo contínuo;
  • Aprimorar os métodos e procedimentos de validação.

Objetivos do PCI DSS v4.0

De acordo com PCI SCC, os 12 principais requisitos do PCI DSS não serão alterados fundamentalmente com a versão 4.0, pois esses ainda são a base essencial para proteger os dados do cartão de pagamento. Entretanto, como de costume, o PCI SSC sempre está atento aos feedbacks da indústria e dos especialistas da área, e por isso, está avaliando como evoluir o padrão para acomodar mudanças na tecnologia, técnicas de mitigação de riscos e o cenário de ameaças.

O PCI SSC também está procurando maneiras de introduzir maior flexibilidade para oferecer suporte a organizações que usam uma ampla gama de controles e métodos para atender aos objetivos de segurança.

Por isso, o PCI DSS v4.0 incorporará as informações recebidas das partes interessadas do PCI SSC global durante o período de solicitação de comentários (RFC) de 2017 . Dentre algumas solicitações realizadas, estão:

  • Autenticação, de acordo com as orientações do NIST para autenticação de multifator/senha;
  • Maior aplicabilidade para criptografar dados de titulares de cartão em redes confiáveis;
  • Monitorar os requisitos para considerar o avanço tecnológico;
  • Maior frequência de testes de controles críticos.

Vale a pena destacar que o PCI SSC também conduzirá períodos de RFC adicionais com as partes interessadas do PCI SSC antes da publicação do PCI DSS v4.0.  De acordo com PCI SCC, as informações sobre os RFCs serão postadas no site do PCI SSC , e as partes interessadas do PCI SSC receberão comunicações com informações adicionais sobre como participar.

O PCI DSS v4.0 não está previsto para ser lançado antes do final de 2020. O tempo específico da liberação depende do feedback recebido durante o período de desenvolvimento. O PCI SSC manterá as partes interessadas atualizadas sobre o tempo durante todo o processo.

Para mais detalhes sobre o PCI DSS 4.0, clique aqui.