{"id":1612067,"date":"2025-03-07T20:20:45","date_gmt":"2025-03-07T20:20:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/lo-que-realmente-significa-pci-dss-v4-lecciones-del-viaje-de-cumplimiento-de-af\/"},"modified":"2025-03-07T20:20:50","modified_gmt":"2025-03-07T20:20:50","slug":"lo-que-realmente-significa-pci-dss-v4-lecciones-del-viaje-de-cumplimiento-de-af","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lo-que-realmente-significa-pci-dss-v4-lecciones-del-viaje-de-cumplimiento-de-af\/","title":{"rendered":"Lo que realmente significa PCI DSS V4: lecciones del viaje de cumplimiento de A&#038;F"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias del hacker<\/span><\/span><span class=\"p-tags\">Seguridad de pago \/ cumplimiento <\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pci-webinar-apr-24\/?utm_source=twitter&amp;utm_medium=social&amp;utm_content=318194234\" style=\"clear: left; display: block; float: left;  pointer: cursor; text-align: center;\" target=\"_blank\"><\/a><\/div>\n<p style=\"text-align: center;\"><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pci-webinar-apr-24\/?utm_source=twitter&amp;utm_medium=social&amp;utm_content=318194234\" target=\"_blank\">Acceda al seminario web a pedido aqu\u00ed<\/a><\/p>\n<h2>Evite un desastre de cumplimiento de $ 100,000\/mes<\/h2>\n<p><strong>31 de marzo de 2025: El reloj est\u00e1 marcando.<\/strong> \u00bfQu\u00e9 pasar\u00eda si un solo script pasado por alto pudiera costarle a su negocio $ 100,000 por mes en multas por incumplimiento? Se avecina PCI DSS V4, y las empresas que manejan los datos de la tarjeta de pago deben estar preparados.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741378842_302_Lo-que-realmente-significa-PCI-DSS-V4-lecciones-del-viaje.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741378842_302_Lo-que-realmente-significa-PCI-DSS-V4-lecciones-del-viaje.png\" alt=\"\" border=\"0\" data-original-height=\"280\" data-original-width=\"1200\"\/><\/a><\/div>\n<p>M\u00e1s all\u00e1 de las multas, el incumplimiento expone a las empresas a<a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/use-cases\/magecart-web-skimming\/\" target=\"_blank\"> skimming web<\/a>ataques de guiones de terceros y amenazas emergentes basadas en el navegador.<\/p>\n<p>Entonces, \u00bfc\u00f3mo te preparas a tiempo?<\/p>\n<p>Reflectiz se sent\u00f3 con Abercrombie &#038; Fitch (A&#038;F), para una discusi\u00f3n sin restricciones sobre los desaf\u00edos m\u00e1s dif\u00edciles de PCI DSS V4.<\/p>\n<p>Kevin Heffernan, Director de Riesgo en A&#038;F, comparti\u00f3 ideas procesables sobre:<\/p>\n<ul>\n<li><strong>Lo que funcion\u00f3 (y ahorr\u00f3 $$$)<\/strong><\/li>\n<li><strong>Lo que no lo hizo (y costar\u00e1 el tiempo y los recursos)<\/strong><\/li>\n<li><strong>Lo que desear\u00edan haber sabido antes<\/strong><\/li>\n<\/ul>\n<p style=\"text-align: center;\">\u27a1 <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pci-webinar-apr-24\/?utm_source=twitter&amp;utm_medium=social&amp;utm_content=318194234\" target=\"_blank\">Mira el seminario web PCI DSS V4 completo ahora<\/a><\/strong><\/p>\n<p style=\"text-align: center;\">(Acceso gratuito a pedido: aprenda de los expertos en cumplimiento de A&#038;F)<\/p>\n<h2>\u00bfQu\u00e9 est\u00e1 cambiando en PCI DSS V4.0.1?<\/h2>\n<p>PCI DSS V4 presenta est\u00e1ndares de seguridad m\u00e1s estrictos, especialmente para scripts de terceros, seguridad del navegador y monitoreo continuo. Dos de los mayores desaf\u00edos para los comerciantes en l\u00ednea son los requisitos 6.4.3 y 11.6.1.<\/p>\n<h3>Requisito 6.4.3 &#8211; Seguridad del script de la p\u00e1gina de pago<\/h3>\n<p>La mayor\u00eda de las empresas dependen de scripts de terceros para pagar, an\u00e1lisis, chat en vivo y detecci\u00f3n de fraude. Pero los atacantes explotan estos guiones a<a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/blog\/essential-guide-to-preventing-javascript-injection\/\" target=\"_blank\"> inyectar c\u00f3digo malicioso<\/a> en p\u00e1ginas de pago (ataques de estilo Magecart).<\/p>\n<h4 style=\"text-align: left;\"><strong>Nuevos mandatos PCI DSS V4:<\/strong><\/h4>\n<p>Inventario de script: cada script cargado en el navegador de un usuario debe registrarse y justificarse.<\/p>\n<p>Controles de integridad: las empresas deben verificar la integridad de todos los scripts de la p\u00e1gina de pago.<\/p>\n<p>Autorizaci\u00f3n: solo los scripts aprobados deben ejecutarse en las p\u00e1ginas de pago.<\/p>\n<h4 style=\"text-align: left;\"><strong>C\u00f3mo lo abord\u00f3 A&#038;F:<\/strong><\/h4>\n<ul>\n<li>Realiz\u00f3 auditor\u00edas de script para identificar dependencias de terceros innecesarias o riesgosas.<\/li>\n<li>Pol\u00edtica de seguridad de contenido utilizada (CSP) para restringir los scripts de terceros.<\/li>\n<li>Utiliz\u00f3 aprobaciones automatizadas inteligentes para ahorrar tiempo y dinero.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741378844_479_Lo-que-realmente-significa-PCI-DSS-V4-lecciones-del-viaje.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741378844_479_Lo-que-realmente-significa-PCI-DSS-V4-lecciones-del-viaje.png\" alt=\"\" border=\"0\" data-original-height=\"278\" data-original-width=\"1200\"\/><\/a><\/div>\n<h3>Requisito 11.6.1 &#8211; Detecci\u00f3n de cambio y manipulaci\u00f3n <\/h3>\n<p>Incluso si sus scripts est\u00e1n seguros hoy, los atacantes pueden inyectar cambios maliciosos m\u00e1s tarde.<\/p>\n<h4 style=\"text-align: left;\"><strong>Nuevos mandatos PCI DSS V4:<\/strong><\/h4>\n<p>Mecanismo: cambio continuo y implementaci\u00f3n de mecanismo de detecci\u00f3n de manipulaci\u00f3n para cambios en la gui\u00f3n de la p\u00e1gina de pago.<\/p>\n<p>Cambios no autorizados: monitoreo del encabezado HTTP para detectar modificaciones no autorizadas.<\/p>\n<p>Integridad: controles de integridad semanales (o con mayor frecuencia en funci\u00f3n de los niveles de riesgo e indicadores de compromiso).<\/p>\n<h4 style=\"text-align: left;\"><strong>C\u00f3mo lo abord\u00f3 A&#038;F:<\/strong><\/h4>\n<ul>\n<li>Implementado monitoreo continuo para detectar modificaciones no autorizadas.<\/li>\n<li>Utilizado informaci\u00f3n de seguridad y gesti\u00f3n de eventos (SIEM) para monitoreo centralizado.<\/li>\n<li>Cre\u00f3 alertas automatizadas y aprobaci\u00f3n por lotes para el script, la estructura y los cambios de encabezado en las p\u00e1ginas de pago.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741378845_95_Lo-que-realmente-significa-PCI-DSS-V4-lecciones-del-viaje.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741378845_95_Lo-que-realmente-significa-PCI-DSS-V4-lecciones-del-viaje.png\" alt=\"\" border=\"0\" data-original-height=\"278\" data-original-width=\"1200\"\/><\/a><\/div>\n<p><strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/lp\/pci-dss-dashboard\/\" target=\"_blank\">Pruebe el tablero de reflexiones PCI-prueba gratuita de 30 d\u00edas<\/a><\/strong><\/p>\n<h2>Actualizaci\u00f3n reciente: la aclaraci\u00f3n de exenci\u00f3n SAQ<\/h2>\n<p><a rel=\"noopener nofollow\" href=\"https:\/\/blog.pcisecuritystandards.org\/faq-clarifies-new-saq-a-eligibility-criteria-for-e-commerce-merchants\" target=\"_blank\">Una aclaraci\u00f3n reciente<\/a> del Consejo PCI establece lo siguiente con respecto a SAQ A Marchants [self-assessment questionnaire]:<\/p>\n<ol>\n<li><strong>Requisito de elegibilidad<\/strong>: Los comerciantes deben confirmar que su sitio no es susceptible a los ataques de guiones que afectan los sistemas de comercio electr\u00f3nico.<\/li>\n<li><strong>Opciones de cumplimiento<\/strong>:\n<ul>\n<li>Implementar t\u00e9cnicas de protecci\u00f3n (como las de los requisitos de PCI DSS 6.4.3 y 11.6.1), ya sea directamente o a trav\u00e9s de un tercero<\/li>\n<li>U obtener la confirmaci\u00f3n de los proveedores de servicios que cumplen con PCI DSS de que su soluci\u00f3n de pago integrado incluye protecci\u00f3n contra el ataque de scripts<\/li>\n<\/ul>\n<\/li>\n<li><strong>Aplicabilidad limitada<\/strong>: El criterio solo se aplica a los comerciantes que utilizan p\u00e1ginas\/formularios de pago integrados (por ejemplo, iframes) de proveedores de servicios de terceros.<\/li>\n<li><strong>Exenciones<\/strong>: Los comerciantes que redirigen a los clientes a los procesadores de pago o subcontratan completamente las funciones de pago no est\u00e1n sujetos a este requisito.<\/li>\n<li><strong>Recomendaciones<\/strong>: Los comerciantes deben consultar con sus proveedores de servicios sobre la implementaci\u00f3n segura y verificar con su adquirente que SAQ A es apropiado para su entorno.<\/li>\n<\/ol>\n<p>Tenga en cuenta que incluso si califica para SAQ A, todo su sitio web debe estar asegurado. Muchas empresas a\u00fan necesitar\u00e1n monitoreo y alertas en tiempo real, lo que hace que las soluciones de cumplimiento completa sean relevantes independientemente.<\/p>\n<h2>Top 3 PCI DSS V4 de A&#038;F (y c\u00f3mo evitarlas)<\/h2>\n<p>Con m\u00faltiples p\u00e1ginas de pago para asegurarse en todo el mundo, el viaje de cumplimiento de Abercrombie y Fitch fue complejo. Kevin Heffernan, Director de Riesgo, ha sugerido tres errores principales que a menudo cometen los comerciantes en l\u00ednea.<\/p>\n<h3 style=\"text-align: left;\"><strong>Error #1: confiar solo en CSP<\/strong><\/h3>\n<p>Si bien la pol\u00edtica de seguridad de contenido (CSP) ayuda a prevenir los ataques basados \u200b\u200ben script, no cubre cambios din\u00e1micos en scripts o recursos externos. PCI DSS requiere una verificaci\u00f3n de integridad adicional.<\/p>\n<h3 style=\"text-align: left;\"><strong>Error #2: Ignorando a los proveedores de terceros<\/strong><\/h3>\n<p>La mayor\u00eda de los minoristas dependen de las pasarelas de pago externas, los widgets de chat y los scripts de seguimiento. Si estos proveedores no cumplen, todav\u00eda eres responsable. Auditar regularmente las integraciones de terceros.<\/p>\n<h3 style=\"text-align: left;\"><strong>Error #3: Tratar el cumplimiento como una soluci\u00f3n \u00fanica<\/strong><\/h3>\n<p>PCI DSS V4 exige el monitoreo continuo: significa que no puede simplemente auditar scripts una vez y olvidarse de ello. Las soluciones de monitoreo continuo ser\u00e1n cr\u00edticas para el cumplimiento.<\/p>\n<p><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/lp\/pci-dss-dashboard\/\" target=\"_blank\">Pruebe el tablero de reflejo de reflejo para el juicio libre de 30 d\u00edas. <\/a><\/p>\n<h2>Takeaways finales del viaje de cumplimiento de PCI de A&#038;F<\/h2>\n<ul style=\"text-align: left;\">\n<li><strong>Evaluaci\u00f3n de riesgos primero<\/strong> &#8211; Identificar y asignar vulnerabilidades, riesgos de la cadena de suministro y configuraciones err\u00f3neas de los componentes antes de saltar a los cambios de cumplimiento.<\/li>\n<li><strong>Asegure los scripts de su p\u00e1gina de pago<\/strong> &#8211; Configurar encabezados de seguridad HTTP estrictos, como <a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/blog\/8-best-content-security-policies\/\" target=\"_blank\">CSP<\/a>.<\/li>\n<li><strong>Monitorear continuamente <\/strong>&#8211; Use alertas de detecci\u00f3n continua de monitoreo continuo, SIEM y Detecci\u00f3n de Tamper para las modificaciones de captura antes de que los atacantes las exploten.<\/li>\n<li><strong>No asuma que los vendedores lo tienen cubierto<\/strong> -Auditar scripts e integraciones de terceros: la responsabilidad de complemento no se detiene en su firewall.<\/li>\n<\/ul>\n<h2>La fecha l\u00edmite del 31 de marzo de 2025 est\u00e1 m\u00e1s cerca de lo que piensas<\/h2>\n<p>Esperando demasiado tiempo para empezar <strong>Crea brechas de seguridad y riesgos multas costosas<\/strong>. La experiencia de A&#038;F muestra por qu\u00e9 <strong>La preparaci\u00f3n temprana es cr\u00edtica<\/strong>.<\/p>\n<p>\u27a1 Evite las costosas multas PCI &#8211; <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pci-webinar-apr-24\/\" target=\"_blank\">Mira el seminario web PCI DSS V4 ahora<\/a><\/strong>  para aprender c\u00f3mo un minorista global importante abord\u00f3 el cumplimiento, y qu\u00e9 puede hacer hoy <strong>Evite las multas y los riesgos de seguridad<\/strong>.<\/p>\n<p><strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/lp\/pci-dss-dashboard\/\" target=\"_blank\">Pruebe el tablero de reflejo de reflejo para el juicio libre de 30 d\u00edas. <\/a><\/strong><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? <span class=\"\">Este art\u00edculo es una pieza contribuida de uno de nuestros valiosos socios.<\/span> S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/what-pci-dss-v4-really-means-lessons.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 de marzo de 2025\ue804Las noticias del hackerSeguridad de pago \/ cumplimiento Acceda al seminario web a pedido<\/p>\n","protected":false},"author":1,"featured_media":1612068,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,37788,38,132915,273784,5273,273783,4654,273782,4659,4653,4655,132914,1663,246983,4665,246984,1287,4701,455,239484],"class_list":["post-1612067","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-cumplimiento","tag-del","tag-dss","tag-las-noticias-del-hacker","tag-lecciones","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-pci","tag-realmente","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-significa","tag-viaje","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1612067","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1612067"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1612067\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1612068"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1612067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1612067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1612067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}