Blog

PCI-DSS 4.0 estará aquí antes de lo que cree y es una oportunidad para aumentar la ciberresiliencia de su organización

June 30, 2023
Pieter Danhieux

Una versión de este artículo apareció en Bulevar de seguridad. Se ha actualizado y distribuido aquí.

A principios de este año, el Consejo de Normas de Seguridad de la PCI presentó la versión 4.0 de su Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Si bien las organizaciones no necesitarán cumplir plenamente con la tecnología 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) los complejos procesos de seguridad y los elementos de su oferta tecnológica. Esto se suma a la implementación de una formación de concienciación en materia de seguridad basada en funciones y una educación regular sobre codificación segura para desarrolladores.

Esto representa una oportunidad de oro para que las empresas del ámbito de la BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.

¿Cuáles son los mayores desafíos para prepararse para PCI DSS 4.0?

Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y de los recursos disponibles, los nuevos estándares PCI DSS abarcan muchos aspectos. Sin embargo, revelan un marcado cambio hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante, esto es importante.

PCI DSS 4.0 adopta el concepto de que hay muchas maneras de lograr el mismo objetivo de mejores prácticas de seguridad irrefutables. Esto es cierto, pero parece más adecuado para las organizaciones con una madurez de seguridad avanzada y deja mucho margen de error, especialmente para aquellas que no han evaluado de forma realista su verdadera madurez en materia de seguridad interna. En última instancia, las empresas deben estar preparadas para abordar la seguridad como un proceso continuo y en evolución, no como un ejercicio puntual de «configurar y olvidar». Es imprescindible contar con una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.

Y quienes utilizan herramientas a nivel de código (la cohorte de desarrollo) deben poder ofrecer software seguro y compatible en cualquier entorno empresarial que gestione activos y transacciones digitales.

¿Están sus desarrolladores preparados para ofrecer software compatible?

Los desarrolladores son una parte integral para alcanzar un estado de excelencia en seguridad de software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de PCI DSS. Es crucial que los desarrolladores comprendan el panorama general de la PCI DSS 4.0 en términos de lo que pueden controlar y que lo integren como parte de su enfoque predeterminado para la creación de software.

Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo y se pueden desglosar de la siguiente manera:

  • Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI; sin embargo, la versión 4.0 lo eleva aún más de una manera que requerirá una implementación cuidadosa tanto interna como externamente. La autenticación multifactor (MFA) pasará a ser estándar, al igual que las reglas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.

    Dado que los problemas de seguridad de autenticación y control de acceso son ahora los más comunes a los que se enfrenta un desarrollador promedio, es imperativo que se implemente una capacitación precisa para ayudarlos a identificar y solucionar estos problemas en el código real.

  • Cifrado y administración de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más confidencial a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de alto valor en riesgo, el cifrado y las prácticas de criptografía sólidas son imprescindibles. Los desarrolladores deben asegurarse de disponer de información actualizada sobre dónde se transmite la información, cómo pueden acceder los usuarios a ella e, incluso en caso de que acabe en malas manos, asegurarse de que los atacantes no puedan leerla.

  • Software malintencionado: En las directrices anteriores, los controles de seguridad relacionados con la protección del software contra códigos malintencionados se denominaban «software antivirus», pero esto simplifica en exceso lo que debería ser un enfoque de varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.

    También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de los componentes vulnerables, especialmente dado que la mayoría de las bases de código dependen, al menos en parte, de código de terceros.

¿Qué constituye una formación «suficiente» para los desarrolladores?

Al igual que las recomendaciones anteriores, la PCI DSS 4.0 propone que los desarrolladores reciban formación «al menos» una vez al año. Sin embargo, si se quiere decir que una vez al año es un punto de contacto suficiente para la creación segura de software, no es ni de lejos suficiente y es poco probable que dé como resultado un software más seguro y compatible.

La formación de los desarrolladores debe comenzar con una formación básica sobre el Top 10 de OWASP, así como con cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el objetivo de seguir desarrollando esas habilidades e incorporar la seguridad no solo en el desarrollo de software desde el principio, sino también en su mentalidad y enfoque de su función. Además, las funciones y responsabilidades deben quedar muy claras para el grupo de desarrolladores y sus directivos. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y garantizar que se cumplan adecuadamente.

Con el tiempo disponible para prepararse para cumplir con las normas PCI DSS 4.0, es posible lograr avances significativos en la mejora de la cultura de seguridad en toda la organización, lo que constituye un terreno fértil para crear la cohorte de desarrollo más consciente de la seguridad que haya tenido nunca.

Descargar su guía definitiva sobre el cumplimiento de PCI DSS 4.0 para desarrolladores.
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas

Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI de Secure Code Warrior: Crea una fuerza laboral preparada para la IA

Programa de alfabetización en IA de Secure Code Warrior para empleados que no son desarrolladores.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Por qué la mayoría de los CISO navegan a ciegas en la adopción de la IA (y cómo pueden quitarse la venda)

Hoy, Secure Code Warrior ha publicado un nuevo informe técnico que presenta un modelo prescriptivo y orientativo de adopción de IA, diseñado para que los líderes de seguridad puedan identificar su etapa de adopción y avanzar de forma efectiva en el control de los riesgos de seguridad relacionados con la IA en sus organizaciones.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo