PCI DSS v4.0, junto con el Resumen de cambios de v3.2.1 a v4.0, está programado para publicarse a fines de marzo de 2022. La plantilla de Informe sobre cumplimiento (ROC) y las Atestaciones de cumplimiento (AOC) también se publicarán. publicado en este momento, seguido de los Cuestionarios de Autoevaluación poco después.

Tenga en cuenta que el borrador de PCI DSS v4.0 para la vista previa de las partes interesadas, que actualmente se proporciona bajo NDA a las organizaciones participantes, asesores de seguridad calificados y proveedores de escaneo aprobados, permanecerá disponible para su visualización a través del portal PCI SSC hasta la versión oficial de PCI DSS v4. 0 se publica en el sitio web de PCI SSC.

Los resúmenes de comentarios de RFC de los dos RFC más recientes, el borrador de PCI DSS v4.0 (2020) y los documentos de validación de borrador de PCI DSS v4.0 (2021), también estarán disponibles para los participantes de RFC a través del portal PCI SSC al final. de marzo de 2022.

Para respaldar la adopción de PCI DSS en todo el mundo, el estándar y el resumen de cambios se traducirán a varios idiomas. Estas traducciones se publicarán en los próximos meses, entre marzo y junio de 2022.

La capacitación para QSA e ISA para respaldar las evaluaciones de PCI DSS v4.0 está programada para junio de 2022. También se planea completar la publicación de documentos de respaldo adicionales para fines de junio.

Periodo de transición

PCI DSS v3.2.1 permanecerá activo durante dos años después de la publicación de v4.0. Este período de transición, desde marzo de 2022 hasta el 31 de marzo de 2024, brinda a las organizaciones tiempo para familiarizarse con los cambios en v4.0, actualizar sus plantillas y formularios de informes y planificar e implementar cambios para cumplir con los requisitos actualizados. A partir del 31 de marzo de 2024, PCI DSS v3.2.1 se retirará y v4.0 se convertirá en la única versión activa del estándar.

 Nuevos requisitos

Además del período de transición en el que tanto la versión 3.2.1 como la versión 4.0 estarán activas, las organizaciones tienen hasta el 31 de marzo de 2025 para incorporar nuevos requisitos que inicialmente se identificaron como mejores prácticas en la versión 4.0. Antes de esta fecha, las organizaciones no están obligadas a validar estos nuevos requisitos. Sin embargo, se alienta a las organizaciones que han implementado controles para cumplir con los nuevos requisitos y están listas para que los controles se evalúen antes de su fecha de vigencia. Después del 31 de marzo de 2025, estos nuevos requisitos entrarán en vigencia y se deben considerar en su totalidad como parte de una evaluación PCI DSS.

El Consejo proporcionará información adicional a lo largo del año para ayudar a la comunidad a comprender los cambios realizados en la norma.

Fuente: PCI SSC