¿Qué es PCI DSS v4.0?

PCI DSS v4.0.1 (la errata de junio de 2024 sobre v4.0) es el Payment Card Industry Data Security Standard actual. Pasó a ser obligatorio el 31 de marzo de 2025, cuando entraron en vigor los 47 requisitos con fecha futura y se retiró v3.2.1. El cambio principal es la flexibilidad: junto al enfoque definido (prescriptivo), ahora puede usar un enfoque personalizado y cumplir el objetivo de seguridad de cada requisito con sus propios controles técnicos. La autenticación es más estricta (MFA resistente al phishing para el acceso administrativo no de consola, contraseñas de 12 caracteres, códigos de un solo uso en cuentas compartidas), y cualquier script que se ejecute en una página de pago expuesta al público debe ahora estar inventariado y con monitorización de integridad.

PCI DSS v4.0.1 —también escrito como PCI DSS versión 4 o simplemente PCI 4.0— sustituyó a v3.2.1 el 31 de marzo de 2024, pero la fecha que realmente importaba fue un año después. Es entonces cuando los 47 requisitos con fecha futura dejaron de ser "buenas prácticas" y empezaron a evaluarse. Si en 2026 aún está funcionando con controles de v3.2.1, no cumple. Los dos grandes cambios prácticos: los requisitos 6.4.3 y 11.6.1 implican que cada script de su página de checkout (analítica, widget de chat, autocompletado de direcciones, todo) debe estar en un inventario con una razón de negocio documentada y una comprobación de integridad, y varios requisitos que antes fijaban una frecuencia ahora le piden hacer un análisis de riesgos focalizado y justificar su propia cadencia.

¿Qué es PCI DSS v4.0?

PCI DSS v4.0 es la última versión del Payment Card Industry Data Security Standard, el marco de seguridad global que rige cómo las organizaciones manejan los datos de pago con tarjeta. Publicada en marzo de 2022 por el PCI Security Standards Council, la versión 4.0 representa la actualización más significativa del estándar desde su creación. Todas las organizaciones que procesan, almacenan o transmiten datos del titular de la tarjeta tenían que completar la transición a v4.0 antes del 31 de marzo de 2025.

La actualización era necesaria porque el panorama de los pagos ha cambiado drásticamente desde la versión anterior. La computación en la nube, los pagos móviles, el trabajo en remoto y unas ciberamenazas cada vez más sofisticadas exigían un enfoque más flexible y moderno para la seguridad de los pagos.

Qué cambió en v4.0

PCI DSS v4.0 introduce varios cambios importantes respecto a la versión anterior, v3.2.1. El cambio principal es el paso de un enfoque prescriptivo y de marcar casillas a uno que permite a las organizaciones más flexibilidad sobre cómo cumplir los objetivos del estándar.

Enfoque personalizado

Posiblemente el cambio más significativo sea la introducción del "enfoque personalizado". Bajo versiones anteriores, las organizaciones tenían que cumplir controles específicos y definidos. Bajo v4.0, los negocios pueden ahora diseñar sus propios controles siempre que cumplan demostrablemente el objetivo de seguridad de cada requisito. Esto da a las organizaciones más grandes y sofisticadas la libertad de usar medidas de seguridad que encajen con su entorno específico en vez de forzar un enfoque único para todos.

El enfoque definido tradicional sigue existiendo para las organizaciones que prefieren instrucciones claras y específicas sobre qué controles implementar.

Requisitos de autenticación más fuertes

v4.0 refuerza significativamente los requisitos de autenticación. La autenticación multifactor es ahora obligatoria para todo acceso al entorno de datos del titular de la tarjeta, no solo para el acceso remoto como en versiones anteriores. Los requisitos de contraseñas también se han actualizado, con una longitud mínima ampliada a 12 caracteres cuando los sistemas lo soportan.

Cifrado y monitorización mejorados

• Los estándares de cifrado se han endurecido, con los protocolos obsoletos explícitamente prohibidos
• Ahora se exigen mecanismos automatizados de revisión de logs, en lugar de revisiones manuales diarias
• Los cortafuegos de aplicaciones web (WAF) o controles equivalentes son obligatorios para las aplicaciones expuestas al público
• Los escaneos internos de vulnerabilidades deben realizarse con escaneo autenticado

Análisis de riesgos focalizado

En lugar de prescribir frecuencias específicas para actividades de seguridad como las revisiones de logs o los cambios de contraseña, v4.0 exige a las organizaciones realizar un análisis de riesgos focalizado para determinar frecuencias adecuadas según su perfil de riesgo concreto. Esto reconoce que un pequeño comercio con bajos volúmenes de transacciones se enfrenta a riesgos distintos a los de un gran procesador de pagos.

Por qué importa v4.0 a las empresas

Para los negocios de todos los tamaños, la transición a v4.0 tiene implicaciones prácticas significativas. Los nuevos requisitos sobre autenticación, cifrado y monitorización pueden exigir actualizaciones tecnológicas, cambios de proceso y formación del personal. El coste del cumplimiento ha aumentado para las organizaciones que manejan datos de tarjeta directamente.

Sin embargo, v4.0 también refuerza el valor de las estrategias de reducción del alcance. Los negocios que pueden sacar los datos del titular de la tarjeta de su entorno, mediante tokenización, páginas de pago alojadas o soluciones seguras de pago telefónico, pueden reducir drásticamente sus obligaciones de cumplimiento de v4.0. Cuantos menos sistemas toquen datos de tarjeta, menos requisitos aplican.

PCI DSS v4.0 y los pagos telefónicos

El impacto de v4.0 en los entornos de pago telefónico es sustancial. Los centros de contacto que manejan datos de tarjeta directamente se enfrentan ahora a requisitos más estrictos en autenticación, monitorización y control de acceso. Las estaciones de trabajo de los agentes que pueden acceder a los datos del titular de la tarjeta deben cumplir estándares de seguridad mejorados. Los sistemas de grabación de llamadas que capturan datos de tarjeta requieren protecciones adicionales.

Para muchos centros de contacto, la respuesta práctica a v4.0 ha sido sacar todo del alcance. Al usar la tecnología de supresión de DTMF o los enlaces de pago, los negocios pueden asegurar que los datos de la tarjeta nunca entren en el entorno del centro de contacto. Esto saca la infraestructura de telefonía del alcance de PCI DSS y evita la mayor carga de cumplimiento que introduce v4.0.

Este enfoque de reducción del alcance no consiste solo en evitar costes de cumplimiento. Es genuinamente mejor seguridad. En lugar de intentar proteger los datos de la tarjeta mientras fluyen por agentes, grabaciones y segmentos de red, los datos simplemente no entran en esos sistemas en primer lugar.

Consideraciones prácticas

• Los Self-Assessment Questionnaires se han actualizado para v4.0. Asegúrese de usar la versión correcta para su evaluación
• Los requisitos con fecha futura pasaron a ser obligatorios el 31 de marzo de 2025. Incluyen el escaneo interno autenticado y la revisión automatizada de logs
• Los Qualified Security Assessors han recibido formación sobre los requisitos de v4.0. Si usa un QSA, asegúrese de que evalúa contra la versión actual
• Los requisitos de documentación han aumentado. El enfoque personalizado requiere documentación detallada de cómo cada control cumple el objetivo de seguridad
• Los proveedores de servicios externos también deben cumplir v4.0. Revise sus acuerdos con proveedores y solicite atestaciones de cumplimiento actualizadas

PCI DSS v4.0 es un estándar más maduro y flexible que sus predecesores, pero también eleva el listón para las organizaciones que manejan datos de tarjeta. Para muchos negocios, el camino más práctico es reducir la cantidad de datos de tarjeta en su entorno, en lugar de intentar cumplir cada nuevo requisito en toda su infraestructura.

Preparándose para lo que viene

PCI DSS v4.0 no es un evento puntual. El PCI Security Standards Council evalúa de forma continua el panorama de amenazas y publicará actualizaciones y orientación a medida que surjan nuevos riesgos. Las organizaciones que construyan programas de seguridad flexibles y adaptables, en lugar de listas rígidas de cumplimiento, estarán mejor posicionadas para los cambios futuros. El giro hacia los requisitos basados en resultados de v4.0 es una señal clara de que el consejo espera que las organizaciones piensen en la seguridad como una práctica continua, no como un ejercicio anual.