El Payment Card Industry Security Standards Council (PCI SSC) ha anunciado actualizaciones significativas en el Self-Assessment Questionnaire A (SAQ A), que afectan especialmente a los comerciantes de comercio electrónico. Estos cambios, que entrarán en vigor el 31 de marzo de 2025, eliminan ciertos requisitos e introducen nuevos criterios de elegibilidad, lo que obliga a los comerciantes a reforzar la seguridad de sus sitios web y protegerse contra ataques de scripts maliciosos.

Con la fecha límite de cumplimiento acercándose rápidamente, es fundamental que los comerciantes comprendan qué está cambiando, qué está en riesgo y cómo garantizar que sigan cumpliendo con los requisitos.

Principales cambios en SAQ A para 2025

1. Eliminación de requisitos de seguridad específicos

Esta modificación afecta solo a los requisitos relacionados con el comercio electrónico dentro de SAQ A y no a los de venta por correo o teléfono.

Los siguientes requisitos de PCI DSS han sido eliminados de SAQ A:

• 6.4.3 – Protección de las páginas de pago contra modificaciones no autorizadas.
• 11.6.1 – Monitoreo continuo para detectar cambios no autorizados en las páginas de pago.
• 12.3.1 – Análisis de riesgos específico relacionado con el requisito 11.6.1.

¿Qué significa esto para los comerciantes?

Aunque estos requisitos ya no son obligatorios en SAQ A, la seguridad sigue siendo una prioridad clave. Los comerciantes deben seguir protegiendo sus sitios web contra las amenazas que estos requisitos abordaban.

Cita: "Si bien estas modificaciones en SAQ A afectarán la forma en que los comerciantes gestionan la presentación de informes de cumplimiento, no eliminan ni reducen los requisitos fundamentales dentro de PCI DSS." – PCI DSS

2. Nuevos criterios de elegibilidad para SAQ A

Para poder calificar para SAQ A, los comerciantes de comercio electrónico ahora deben cumplir dos condiciones adicionales:

1. Todos los elementos de la página de pago (formularios, scripts, iframes, etc.) deben provenir exclusivamente y directamente de un TPSP que cumpla con PCI DSS.
2. El comerciante debe confirmar que su sitio no es vulnerable a ataques basados en scripts que puedan comprometer sus sistemas de comercio electrónico.

Cita: "El comerciante ha confirmado que su sitio no es susceptible a ataques de scripts que puedan afectar su sistema de comercio electrónico." – PCI SSC

PCI SSC proporciona herramientas de validación de cumplimiento, pero los requisitos finales son establecidos por los adquirentes, las marcas de pago y las entidades responsables del cumplimiento.

Cita: "PCI SSC proporciona herramientas que pueden utilizarse para facilitar la validación del cumplimiento. Los requisitos de validación del cumplimiento son establecidos por las marcas, adquirentes, facilitadores de pago, etc." – PCI SSC

Puntos clave

Aunque los requisitos 6.4.3, 11.6.1 y 12.3.1 ya no deben ser implementados directamente por el comerciante, siguen siendo parte del marco de PCI DSS y deben ser cumplidos por el TPSP. Es decir, el comerciante ya no es directamente responsable de estas medidas, pero debe garantizar que su TPSP las cumpla.

Los nuevos criterios de elegibilidad se centran en la seguridad de todo el sitio web, no solo de la página de pago. Simplemente declarar que un sitio no utiliza scripts ya no es suficiente.

¿Por qué son importantes estos cambios?

A pesar de que PCI SSC ha eliminado ciertos requisitos de seguridad, los comerciantes siguen siendo completamente responsables de la seguridad de sus sitios web.

Los comerciantes que confían en SAQ A ahora deben:

• Asegurar que todo su sitio web esté protegido contra ataques basados en scripts.
• Monitorear continuamente para detectar inyecciones de scripts maliciosos.
• Proporcionar evidencia de que sus medidas de seguridad cumplen con los nuevos criterios de SAQ A.

¿Qué sucede si un comerciante no califica para SAQ A?

Si un comerciante no cumple con los nuevos criterios de elegibilidad, deberá migrar a SAQ A-EP, que contiene 151 controles de seguridad, en comparación con los 27 de SAQ A. Esto aumentará significativamente la complejidad y el coste del cumplimiento.

Línea de tiempo para el cumplimiento de SAQ A

• Octubre 2024 – La versión actual de SAQ A sigue siendo válida hasta el 31 de marzo de 2025.
• Enero 2025 – Se publica la nueva versión de SAQ A.
• 31 de marzo de 2025 – SAQ A v4.0.1 r1 reemplaza oficialmente la versión anterior.

Los comerciantes deben planificar con anticipación para evitar problemas de cumplimiento.

Cómo proteger tu sitio web y seguir cumpliendo con SAQ A

Para cumplir con los nuevos requisitos de seguridad de SAQ A, los comerciantes deben adoptar medidas proactivas para proteger sus sitios web.

1️⃣ Monitorear y proteger el carrito de compras
Implementar soluciones y controles para detectar y prevenir inyecciones de scripts maliciosos en los elementos del TPSP.

2️⃣ Proteger la integridad de las páginas web
Implementar soluciones para proteger todo el sitio web, no solo la página de pago, contra ataques basados en scripts.

3️⃣ Utilizar solo scripts de terceros que cumplan con PCI DSS
Asegurarse de que todos los scripts externos utilizados en el sitio provengan de TPSP conformes con PCI DSS.

4️⃣ Realizar evaluaciones de riesgos de seguridad
Escanear y auditar regularmente el sitio web para identificar vulnerabilidades que puedan permitir la inyección de scripts no autorizados.

Importante: Los scripts maliciosos pueden inyectarse en cualquier momento. Las auditorías únicas no son suficientes, es esencial un monitoreo continuo.

5️⃣ Consultar con expertos en cumplimiento de PCI
Trabajar con Qualified Security Assessors (QSAs) para asegurarse de que el negocio cumpla con los nuevos criterios de SAQ A.

Reflexión final: Actúa ahora para seguir cumpliendo con los requisitos

Estos cambios en SAQ A buscan simplificar el cumplimiento y reforzar la seguridad para los comerciantes en línea. Sin embargo, mantener la conformidad con los nuevos criterios requiere un monitoreo proactivo y mejoras en la seguridad.

Si no estás seguro de si tu empresa cumple con los nuevos requisitos de SAQ A, o necesitas ayuda para proteger tu plataforma de comercio electrónico, estamos aquí para ayudarte.

¿Necesitas ayuda para seguir cumpliendo con SAQ A?

Asegurar que tu sitio web cumpla con PCI DSS v4.0.1 puede ser complejo, pero no tienes que hacerlo solo.

En Integrity360, somos especialistas en ayudar a los comerciantes a adaptarse a estos cambios, proteger sus sitios web y garantizar el cumplimiento con confianza.

📩 ¡Contáctanos hoy mismo para proteger tu negocio y seguir cumpliendo en 2025 y más allá!