El Payment Card Industry Security Standards Council (PCI SSC) ha anunciado actualizaciones significativas en el Self-Assessment Questionnaire A (SAQ A), que afectan especialmente a los comerciantes de comercio electrónico. Estos cambios, que entrarán en vigor el 31 de marzo de 2025, eliminan ciertos requisitos e introducen nuevos criterios de elegibilidad, lo que obliga a los comerciantes a reforzar la seguridad de sus sitios web y protegerse contra ataques de scripts maliciosos.
Con la fecha límite de cumplimiento acercándose rápidamente, es fundamental que los comerciantes comprendan qué está cambiando, qué está en riesgo y cómo garantizar que sigan cumpliendo con los requisitos.
Esta modificación afecta solo a los requisitos relacionados con el comercio electrónico dentro de SAQ A y no a los de venta por correo o teléfono.
Los siguientes requisitos de PCI DSS han sido eliminados de SAQ A:
Aunque estos requisitos ya no son obligatorios en SAQ A, la seguridad sigue siendo una prioridad clave. Los comerciantes deben seguir protegiendo sus sitios web contra las amenazas que estos requisitos abordaban.
Cita: "Si bien estas modificaciones en SAQ A afectarán la forma en que los comerciantes gestionan la presentación de informes de cumplimiento, no eliminan ni reducen los requisitos fundamentales dentro de PCI DSS." – PCI DSS
Para poder calificar para SAQ A, los comerciantes de comercio electrónico ahora deben cumplir dos condiciones adicionales:
Cita: "El comerciante ha confirmado que su sitio no es susceptible a ataques de scripts que puedan afectar su sistema de comercio electrónico." – PCI SSC
PCI SSC proporciona herramientas de validación de cumplimiento, pero los requisitos finales son establecidos por los adquirentes, las marcas de pago y las entidades responsables del cumplimiento.
Cita: "PCI SSC proporciona herramientas que pueden utilizarse para facilitar la validación del cumplimiento. Los requisitos de validación del cumplimiento son establecidos por las marcas, adquirentes, facilitadores de pago, etc." – PCI SSC
Aunque los requisitos 6.4.3, 11.6.1 y 12.3.1 ya no deben ser implementados directamente por el comerciante, siguen siendo parte del marco de PCI DSS y deben ser cumplidos por el TPSP. Es decir, el comerciante ya no es directamente responsable de estas medidas, pero debe garantizar que su TPSP las cumpla.
Los nuevos criterios de elegibilidad se centran en la seguridad de todo el sitio web, no solo de la página de pago. Simplemente declarar que un sitio no utiliza scripts ya no es suficiente.
A pesar de que PCI SSC ha eliminado ciertos requisitos de seguridad, los comerciantes siguen siendo completamente responsables de la seguridad de sus sitios web.
Los comerciantes que confían en SAQ A ahora deben:
Si un comerciante no cumple con los nuevos criterios de elegibilidad, deberá migrar a SAQ A-EP, que contiene 151 controles de seguridad, en comparación con los 27 de SAQ A. Esto aumentará significativamente la complejidad y el coste del cumplimiento.
Los comerciantes deben planificar con anticipación para evitar problemas de cumplimiento.
Para cumplir con los nuevos requisitos de seguridad de SAQ A, los comerciantes deben adoptar medidas proactivas para proteger sus sitios web.
1️⃣ Monitorear y proteger el carrito de compras
Implementar soluciones y controles para detectar y prevenir inyecciones de scripts maliciosos en los elementos del TPSP.
2️⃣ Proteger la integridad de las páginas web
Implementar soluciones para proteger todo el sitio web, no solo la página de pago, contra ataques basados en scripts.
3️⃣ Utilizar solo scripts de terceros que cumplan con PCI DSS
Asegurarse de que todos los scripts externos utilizados en el sitio provengan de TPSP conformes con PCI DSS.
4️⃣ Realizar evaluaciones de riesgos de seguridad
Escanear y auditar regularmente el sitio web para identificar vulnerabilidades que puedan permitir la inyección de scripts no autorizados.
Importante: Los scripts maliciosos pueden inyectarse en cualquier momento. Las auditorías únicas no son suficientes, es esencial un monitoreo continuo.
5️⃣ Consultar con expertos en cumplimiento de PCI
Trabajar con Qualified Security Assessors (QSAs) para asegurarse de que el negocio cumpla con los nuevos criterios de SAQ A.
Estos cambios en SAQ A buscan simplificar el cumplimiento y reforzar la seguridad para los comerciantes en línea. Sin embargo, mantener la conformidad con los nuevos criterios requiere un monitoreo proactivo y mejoras en la seguridad.
Si no estás seguro de si tu empresa cumple con los nuevos requisitos de SAQ A, o necesitas ayuda para proteger tu plataforma de comercio electrónico, estamos aquí para ayudarte.
Asegurar que tu sitio web cumpla con PCI DSS v4.0.1 puede ser complejo, pero no tienes que hacerlo solo.
En Integrity360, somos especialistas en ayudar a los comerciantes a adaptarse a estos cambios, proteger sus sitios web y garantizar el cumplimiento con confianza.
📩 ¡Contáctanos hoy mismo para proteger tu negocio y seguir cumpliendo en 2025 y más allá!