De cara a 2025, el mundo sigue adoptando la digitalización en múltiples industrias, y el sector financiero no es una excepción. Los pagos digitales, que antes se consideraban una tecnología emergente, se han convertido en un elemento básico de la economía mundial.
Según Statista, en 2023, las ventas mundiales de comercio electrónico alcanzaron una cifra estimada de US$5.8 billones.
Las proyecciones indican un crecimiento del 39% de esta cifra en los próximos años, con expectativas de superar los US$8 billones en 2027. Pero hay que tener en consideración que la ciberdelincuencia está simplificando sus operaciones, y las consecuencias de su actividad tendrán un mayor alcance al aprovechar la IA, la adopción de nuevos sistemas de pago digitales, y el surgimiento de nuevas tácticas de fraude.
Es por ello que en el mundo digital actual, la protección de la información de las tarjetas de pago es esencial. El Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) es un marco vital diseñado para proteger frente a las ciberamenazas, es una norma creada en 2004, que deben cumplir todas las organizaciones que almacenan, procesan o transmiten datos de titulares de tarjetas. La norma establece un nivel básico de seguridad para las transacciones con tarjetas de crédito, efectivo y débito, y protege la información de las cuentas de los titulares.
El estándar PCI DSS ha pasado por varias actualizaciones para adaptarse al cambiante panorama de las amenazas. La versión actual (PCI DSS v4.0) que entró en vigor en abril de 2024, fue actualizada por la versión PCI DSS v4.0.1 en junio 2024 permitiendo aclarar el enfoque y la intención de algunos de los requisitos y orientaciones. El cumplimiento de este estándar de seguridad no es opcional, pero las partes de la norma que deben cumplirse dependen de cómo se procesen las transacciones.
Nuevos Controles PCI DSS aplicables a partir de Abril 2025
La actualización a la versión 4.X incluye 53 controles que a partir de abril 2025 serán mandatorios, e implican una implementación más compleja que los controles que eran de aplicación inmediata.
Entre los más importantes podemos mencionar:
• Cifrado de SAD (Sensitive Authentication Data) incluido el CVV (Card Verification Value) mientras se autoriza la operación.
• Controles técnicos para prevenir que el PAN (Primary Account Number) se pueda copiar mientras se usen tecnologías de acceso remoto.
• TRA’s (Targeted Risk Analysis) para definir periodicidad de algunos controles.
• Escaneo de malware en mecanismos removibles.
• Mecanismos para administrar y proteger los scripts de pago.
• Escaneos internos autentificados.
• Monitoreo de scripts en paginas de pago.
Un control clave para entender la evolución de PCI, es el uso de los “Análisis de Riesgos Enfocado” (TRA’s) donde para definir periodicidad de ciertos controles es necesario justificarla con un análisis de riesgo específico de dicho control y los activos a los que aplique.
La inteligencia artificial sigue siendo tendencia en 2025, y para PCI no es la excepción, por lo que muchos controles del estándar de pagos de tarjeta pueden ser asistidos por la IA, como la Revisión cruzada de código en la que se puede usar IA para generar recomendaciones de código seguro. De la misma manera, algunas herramientas pueden usar IA para generar el Inventario y monitorear Scripts de Pago.
Otro de los cambios importantes para este 2025 es la responsabilidad de las empresas para identificar y monitorear su alcance PCI, utilizando herramientas que permitan hacer un correcto descubrimiento de datos para que puedan demostrar la correcta definición de su CDE (Card Data Enviroment).
En 2025 la ciberseguridad continuará en constante evolución, adaptándose a nuevas amenazas y métodos de ataque, es por ello que el cumplimiento de la norma PCI DSS es primordial para continuar protegiendo los datos de los titulares de tarjetas, manteniendo su confianza y salvaguardando su información.
Autor: Oswaldo Silva, VP de Operaciones GM Sectec México
