Por: Oswaldo Silva, VP de Operaciones GM Sectec México
De cara a 2025, el mundo sigue adoptando la digitalización en múltiples industrias, y el
sector financiero no es una excepción. Los pagos digitales, que antes se consideraban
una tecnología emergente, se han convertido en un elemento básico de la economía
mundial.
Según Statista, en 2023, las ventas mundiales de comercio electrónico alcanzaron una
cifra estimada de US$ 5,8 billones. Las proyecciones indican un crecimiento del 39% de
esta cifra en los próximos años, con expectativas de superar los US$ 8 billones en 2027.
Pero hay que tener en consideracion que la ciberdelincuencia está simplificando sus
operaciones, y las consecuencias de su actividad tendrán un mayor alcance al aprovechar
la IA, la adopción de nuevos sistemas de pago digitales, y el surgimiento de nuevas
tácticas de fraude.
Es por ello que en el mundo digital actual, la protección de la información de las tarjetas
de pago es esencial. El Estándar de Seguridad de Datos del Sector de Tarjetas de Pago
(PCI DSS) es un marco vital diseñado para proteger frente a las ciberamenazas, es una
norma creada en 2004, que deben cumplir todas las organizaciones que almacenan,
procesan o transmiten datos de titulares de tarjetas. La norma establece un nivel básico
de seguridad para las transacciones con tarjetas de crédito, efectivo y débito, y protege la
información de las cuentas de los titulares.
El estándar PCI DSS ha pasado por varias actualizaciones para adaptarse al cambiante
panorama de las amenazas. La versión actual (PCI DSS v4.0) que entró en vigor en abril
de 2024, fue actualizada por la versión PCI DSS v4.0.1 en junio 2024 permitiendo aclarar
el enfoque y la intención de algunos de los requisitos y orientaciones. El cumplimiento de
este estándar de seguridad no es opcional, pero las partes de la norma que deben
cumplirse dependen de cómo se procesen las transacciones.
Nuevos Controles PCI DSS aplicables a partir de Abril 2025
La actualización a la versión 4.X incluye 53 controles que a partir de abril 2025 serán
mandatorios, e implican una implementación más compleja que los controles que eran de
aplicación inmediata.
Entre los más importantes podemos mencionar:
Cifrado de SAD (Sensitive Authentication Data) incluido el CVV (Card Verification
Value) mientras se autoriza la operación.
Controles técnicos para prevenir que el PAN (Primary Account Number) se pueda
copiar mientras se usen tecnologías de acceso remoto.
TRA’s (Targeted Risk Analysis) para definir periodicidad de algunos controles.
Escaneo de malware en mecanismos removibles.
Mecanismos para administrar y proteger los scripts de pago.
Escaneos internos autentificados.
Monitoreo de scripts en paginas de pago.
Un control clave para entender la evolución de PCI, es el uso de los “Análisis de Riesgos
Enfocado” (TRA’s) donde para definir periodicidad de ciertos controles es necesario
justificarla con un análisis de riesgo específico de dicho control y los activos a los que
aplique.
La inteligencia artificial sigue siendo tendencia en 2025, y para PCI no es la excepción,
por lo que muchos controles del estándar de pagos de tarjeta pueden ser asistidos por la
IA, como la Revisión cruzada de código en la que se puede usar IA para generar
recomendaciones de código seguro. De la misma manera, algunas herramientas pueden
usar IA para generar el Inventario y monitorear Scripts de Pago.
Otro de los cambios importantes para este 2025 es la responsabilidad de las empresas
para identificar y monitorear su alcance PCI, utilizando herramientas que permitan hacer
un correcto descubrimiento de datos para que puedan demostrar la correcta definición de
su CDE (Card Data Enviroment).
En 2025 la ciberseguridad continuará en constante evolución, adaptándose a nuevas
amenazas y métodos de ataque, es por ello que el cumplimiento de la norma PCI DSS es
primordial para continuar protegiendo los datos de los titulares de tarjetas, manteniendo
su confianza y salvaguardando su información.