Algunos de los objetivos de estos cambios incluyen:
Continuar satisfaciendo las necesidades de seguridad de la industria de pagos.
Por qué es importante: Las prácticas de seguridad deben evolucionar a medida que cambian las amenazas.
Ejemplos:
- Requisitos ampliados de la autenticación multifactorial.
- Requisitos de contraseña actualizados.
- Nuevos requisitos para el comercio electrónico y el phishing para hacer frente a las amenazas continuas.
Promover la seguridad como un proceso continuo.
Por qué es importante: Los criminales nunca duermen. La seguridad continua es crucial para proteger los datos de pago.
Ejemplos:
- Roles y responsabilidades claramente asignados en cada uno de los requisitos.
- Se ha añadido una guía para ayudar a las personas a comprender mejor cómo implementar y mantener la seguridad.
Aumentar la flexibilidad de las organizaciones que utilizan diferentes métodos para alcanzar los objetivos de seguridad.
Por qué es importante: Una mayor flexibilidad permite más opciones para lograr el objetivo de un requisito y apoya la innovación de la tecnología de pagos.
Ejemplos:
- Asignación de cuentas de grupos, compartidas y genéricas.
- Los análisis de riesgos específico permiten a las organizaciones establecer frecuencias para realizar ciertas actividades.
- El enfoque personalizado, un nuevo método para implementar y validar los requisitos PCI DSS, brinda otra opción a las organizaciones que utilizan métodos innovadores para lograr los objetivos de seguridad.
Reforzar los métodos y procedimientos de validación.
Por qué es importante: Las opciones claras de validación y la presentación de informes apoyan la transparencia y la granularidad.
Ejemplo:
• Una mayor alineación entre la información reportada en el Informe de Cumplimiento o el Cuestionario de Autoevaluación y la información resumida en la Atestación de Cumplimiento.