Importante actualización sobre los criterios de elegibilidad para PCI DSS SAQ A

El PCI Security Standards Council (PCI SSC) ha publicado una nueva Pregunta Frecuente (FAQ 1588) para ayudar a las empresas a comprender mejor los criterios de elegibilidad actualizados para el Self-Assessment Questionnaire (SAQ) A según PCI DSS v4.0.1. Estos nuevos requisitos entrarán en vigor el 1 de abril de 2025 y son especialmente relevantes para los comercios electrónicos que utilizan páginas de pago integradas (como iframes).

¿Qué está cambiando?

Para ser elegibles para el SAQ A, los comerciantes deben confirmar que su sitio web no es vulnerable a ataques basados en scripts que puedan comprometer los datos de pago de los clientes.

¿Cómo pueden los comerciantes confirmar que su sitio web es seguro?

Los comerciantes pueden verificar la protección de su sitio contra ataques por scripts de dos maneras:

Implementando medidas de seguridad:

• Utilizar los métodos de protección recomendados en los requisitos PCI DSS 6.4.3 y 11.6.1 para bloquear scripts maliciosos que puedan robar datos de pago.
• Estas protecciones pueden ser implementadas por el comerciante o por un proveedor de servicios de terceros (TPSP).

Obteniendo confirmación de su proveedor de pagos:

• Si el comerciante utiliza un proveedor de servicios de pago (TPSP) o procesador de pagos conforme a PCI DSS, puede obtener confirmación de que su página de pago integrada ya incluye protecciones contra ataques por scripts.
• Los comerciantes deben asegurarse de seguir correctamente las directrices de seguridad proporcionadas por su proveedor.

¿A quién se aplica este cambio?

Esta actualización se aplica únicamente a los comercios electrónicos que utilizan una página de pago integrada de un proveedor de servicios de pago de terceros (como un iframe) en su sitio web.

¿Quién NO es elegible para SAQ A bajo estos criterios?

• Comerciantes que redirigen a los clientes al sitio web de un proveedor de pago (por ejemplo, mediante un enlace de redirección, HTTP 30x, meta tag o redirección por JavaScript).
• Comerciantes que externalizan completamente el procesamiento de pagos (por ejemplo, enviando a los clientes un enlace de pago por correo electrónico).

¿Qué deben hacer los comerciantes ahora?

Consultar con su proveedor de pagos (TPSP) o con su adquirente para confirmar si el SAQ A es el cuestionario de autoevaluación correcto para su negocio.
Trabajar con su proveedor para asegurarse de que tienen las medidas de seguridad adecuadas implementadas.
 Visitar el sitio web del PCI SSC para revisar la FAQ completa y otros recursos adicionales.

Esta actualización busca hacer que el cumplimiento sea más claro y garantizar una mayor seguridad en los pagos para los negocios de comercio electrónico. Siguiendo estas directrices, los comerciantes pueden validar su cumplimiento con confianza y proteger los datos de pago de sus clientes.

https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/how-does-an-e-commerce-merchant-meet-the-saq-a-eligibility-criteria-for-scripts/