En estos momentos nos encontramos en la etapa 6 del ciclo de vida de PCI DSS, "Feedback Review" o revisión de comentarios y el PCI Security Standard Council ha publicado un resumen de los comentarios que ha recibido (pdf) que me ha parecido interesante porque, se supone, que la nueva versión del estándar incluirá modificaciones y/o aclaraciones, sobre todo, en esos puntos.
Los puntos más comentados (suponen más de la mitad del total, el 54%) han sido los siguientes:
- Requerimiento 11.2 [13%] - Prescribir el uso de herramientas específicas, solicitar a los ASV la realización de escaneos internos y definir que supone un "cambio significativo".
- Alcance [10%] - Proporcionar una guía detallada para definir el alcance y la segmentación.
- Requerimiento 12.8 [8%] - Clarificar los términos "proveedor de servicios" y "compartido" y proporcionar unos requerimientos más prescriptivos para los acuerdos escritos que aplican a los proveedores de servicio.
- SAQs [8%] - Considerar actualizar los SAQs; son, o bien, demasiado complejos (difíciles de comprender) o bien no son suficientemente detallados.
- Requerimiento 3.4 [8%] - Los requerimientos de gestión de clave y de cifrado son complejos; proporcionar una mayor claridad. El truncado / tokenizado / hashing no es un método conveniente para almacenar y recuperar datos; proporcionar mayor guía.
- Requerimiento 8.5 [7%] - Considerar actualizar los requisitos de las contraseñas (expandir la autenticación más allá de las contraseñas). Los requisitos actuales sobre contraseñas son muy o poco estrictos; ser más o menos prescriptivos.
Ya veremos como queda la nueva versión del próximo verano...
... ¿todavía no me sigues en twitter.com/antonio_ramosga?