Se actualizó el título del requisito principal para reflejar el enfoque en los controles de seguridad de la red.

Se sustituyó "cortafuegos" y "enrutadores" por "controles de seguridad de la red" para dar cabida a una gama más amplia de tecnologías utilizadas para cumplir los objetivos de seguridad que tradicionalmente cumplen los cortafuegos.

Se sustituyó el requisito de "Descripción de grupos, funciones y responsabilidades para la gestión de los componentes de la red", por el requisito general de funciones y responsabilidades del Requisito 1.

Se redefinió un requisito "nulo" (todo el contenido apuntaba a otros requisitos) sobre la definición, implementación y mantenimiento de los estándares de configuración de las reglas de control de la seguridad de la red.

Se aclaró que los cambios se gestionan de acuerdo con el proceso de control de cambios definido en el requisito 6.5.1.

Se separó el requisito 1.1.6 de la versión 3.2.1 en dos requisitos, para aclarar la intención de cada uno.

Se aclaró la intención de revisar las configuraciones de los controles de seguridad de la red, al menos una vez cada seis meses.

Se aclaró la intención de asegurar los archivos de configuración.

Se separó el requisito 1.2.1 (de la versión 3.2.1) en dos requisitos para aclarar la intención de cada uno.

Se aclaró la intención de implementar controles de seguridad de red entre las redes inalámbricas y el CDE.

Se redefinió un requisito "nulo" (todo el contenido apuntaba a otros requisitos).

Se aclaró que la intención es implementar controles entre redes confiables y no confiables.

Se fusionaron los requisitos para aclarar que la intención es restringir el tráfico entrante desde redes no confiables.

Se aclaró la intención de que los componentes del sistema que almacenan datos de titulares de tarjetas no sean accesibles directamente desde redes no confiables.

Se aclaró que la intención es implementar controles de seguridad en cualquier dispositivo informático que se conecte tanto a redes no confiables como al CDE.

Se actualizó el título principal del requisito para reflejar que la atención se centra en las configuraciones seguras en general, y no sólo en los valores predeterminados proporcionados por el proveedor.

Nuevo requisito para las funciones y responsabilidades.

Se aclaró que la intención es comprender si las cuentas predeterminadas de los proveedores están en uso, y gestionarlas consecuentemente.

Se aclaró la intención del requisito de gestionar las funciones primarias que requieren diferentes niveles de seguridad.

Se combinan los requisitos 2.2.2 y 2.2.5 de la versión 3.2.1 para alinear los temas similares.

Se aclaró la intención del requisito, aplica si hay servicios, protocolos o daemons inseguros.

Se dividió el requisito 2.1.1 de la versión 3.2.1 que habla sobre cambiar todos los valores predeterminados de los proveedores inalámbricos en dos requisitos, para aclarar el enfoque de cada uno.

Se trasladó el requisito 2.4 de la versión 3.2.1 hasta el requisito 12.5.1, para alinearlo con el contenido relacionado.

Se actualizó el título del requisito principal para reflejar el enfoque en los datos de las cuentas.

Nuevo requisito para las funciones y responsabilidades.

Nuevo punto de requisito para abordar los SAD que se almacenan electrónicamente antes de completar la autorización.

Nuevo punto de requisito para abordar los SAD almacenados antes de finalizar la autorización mediante la implementación de procesos, procedimientos, políticas de eliminación y de retención de datos.

Se añadió un requisito para orientar los procedimientos de comprobación previos para que cualquier almacenamiento de SAD por parte de los emisores esté protegido y limitado a lo que se necesita para una necesidad legítima del negocio de emisión.

Se aclaró que los datos del PAN se enmascaran cuando se muestren, de modo que sólo el personal con una necesidad legítima de negocio pueda ver más dígitos aparte del BIN/cuatro últimos dígitos de los datos del PAN.

Nuevo requisito para los controles técnicos que impide la copia y/o reubicación de datos del PAN cuando se utilizan tecnologías de acceso remoto.

Se eliminó ensambladores del punto "índices de tokens y ensambladores" para hacer ilegible el PAN.

Nuevo requisito para los hashes criptográficos con clave cuando se utiliza el hashing para hacer ilegible los datos PAN.

Nuevo requisito que indica que el cifrado a nivel de disco o de partición sólo se utilice para hacer ilegible los datos del PAN en soportes electrónicos extraíbles o, si se utiliza en soportes electrónicos no extraíbles, que estos se hagan ilegibles mediante un mecanismo que cumpla con el Requisito 3.5.1.

Nuevo punto de requisito únicamente para proveedores de servicios, que pide que se incluya en la descripción documentada de la arquitectura criptográfica la prohibición del uso de las mismas claves criptográficas en entornos de producción y de prueba.

Se actualizó el título del requisito principal para reflejar el enfoque en la "criptografía robusta", para proteger las transmisiones de datos de los titulares de tarjetas.

Nuevo requisito para funciones y responsabilidades.

Nuevo punto de requisito para confirmar que los certificados utilizados para las transmisiones de datos del PAN a través de redes públicas abiertas, son válidos y no han caducado o han sido revocados.

Nuevo requisito para mantener un inventario de claves y certificados de confianza.

🧭 Se actualizó el título del requisito principal para reflejar el enfoque en la protección de todos los sistemas y redes contra software malicioso.

🧬 Se sustituyó el término "antivirus" por el de "antimalware" para dar cabida a una gama más amplia de tecnologías utilizadas para cumplir con los objetivos de seguridad que tradicionalmente cumplía el software antivirus.

Nuevo requisito para funciones y responsabilidades.

Se aclaró el requisito cambiando el enfoque a “componentes del sistema que no están en riesgo por programas maliciosos”.

Nuevo requisito para definir la frecuencia de las evaluaciones periódicas de los componentes del sistema que no representan riesgo de programas maliciosos en el análisis de riesgo específico de la entidad.

Se ha dividido el requisito 5.2 de la versión 3.2.1 en tres requisitos, para centrar cada uno de ellos en un área:

Nuevo requisito para definir la frecuencia de los escaneos periódicos de programas maliciosos en el análisis de riesgo específico de la entidad.

Nuevo requisito para una solución contra los programas maliciosos para soportes electrónicos extraíbles.

Nuevo requisito para detectar y proteger al personal contra los ataques de phishing.

Se actualizó el título del requisito principal para incluir "software" en lugar de "aplicaciones".

Se aclaró que el requisito 6 se aplica a todos los componentes del sistema, excepto al requisito 6.2 que sólo se aplica al software personalizado y a la medida.

Nuevo requisito para funciones y responsabilidades.

🚧 Se trasladó el requisito 6.3 de la versión 3.2.1 que habla sobre desarrollar software de forma segura, para alinear todo el contenido de desarrollo de software bajo el requisito 6.2.

🧭 Se sustituyó “interno y externo" por software "personalizado y a la medida".

🧭 Se aclaró que este requisito se aplica a los programas informáticos desarrollados para o por la entidad para su propio uso, y no aplica para programas informáticos de terceros.

Se trasladaron los elementos del requisito 6.5 de la versión 3.2.1 para la formación de los desarrolladores de software, a fin de alinear todo el contenido de desarrollo de software bajo el requisito 6.2.

Se aclararon los requisitos de formación para el personal de desarrollo de software.

Se trasladó el requisito 6.3.2 de la versión 3.2.1 que habla sobre la revisión del software personalizado antes de su publicación, para alinear todo el contenido de desarrollo de software bajo el requisito 6.2.

Se dividió el requisito 6.3.2 de la versión 3.2.1 para separar las prácticas generales de revisión del código de aquellas necesarias si se realizan revisiones manuales del código.

Se trasladaron los requisitos 6.5.1 y 6.5.10 de la versión 3.2.1 que hablan sobre abordar las vulnerabilidades de codificación comunes, a fin de alinear todo el contenido de desarrollo de software bajo el requisito 6.2.

Se combinaron los métodos para prevenir o mitigar los ataques comunes al software en un solo requisito, y se generalizó el lenguaje que describe cada tipo de ataque.

Se trasladaron los requisitos relacionados con la identificación de vulnerabilidades de seguridad, y con la protección de los componentes frente a vulnerabilidades mediante la aplicación de actualizaciones bajo el requisito 6.3.

Se añadió un punto para aclarar la aplicabilidad a las vulnerabilidades del software personalizado, y a la medida de terceros.

Nuevo requisito de mantener un inventario de software personalizado y a la medida.

Se cambiaron los parches de seguridad aplicables que se instalarán en el plazo de un mes, desde el lanzamiento de "parches de seguridad críticos" a "parches o actualizaciones críticas o de alta seguridad."

Se trasladó el requisito 6.6 de la versión 3.2.1 que habla sobre abordar las nuevas amenazas y vulnerabilidades de las aplicaciones web de cara al público, bajo el requisito 6.4.

Nuevo requisito para desplegar una solución técnica automatizada para las aplicaciones web de cara al público que detecte y prevenga continuamente los ataques basados en la web.

Este nuevo requisito elimina la opción del requisito 6.4.1 de revisar las aplicaciones web mediante herramientas o métodos de evaluación de la vulnerabilidad de las aplicaciones, manuales o automatizados.

Nuevo requisito para la gestión de todos los scripts de las páginas de pago que se cargan y ejecutan en el navegador del cliente.

Se trasladaron y combinaron los requisitos 6.3.1 y 6.4, así como también los requisitos del 6.4.1 al 6.4.6 de la versión 3.2.1 que hablan sobre los cambios en los componentes del sistema, bajo el requisito 6.5.

Se eliminó el requisito 6.4 de la versión 3.2.1 que habla sobre los procedimientos documentados específicos, y se añadieron procedimientos de prueba para verificar las políticas y los procedimientos de cada requisito relacionado.

Se cambió el término "desarrollo/prueba y producción" por entornos de "producción y preproducción".

Se cambió el término "desarrollo/prueba y producción" por entornos de "producción y preproducción".

Se cambió el término "separación de funciones" y se aclaró que la separación de roles y funciones entre la producción y la preproducción, tiene como objetivo proporcionar responsabilidad para que sólo se desplieguen los cambios aprobados.

Se cambió el término "pruebas o desarrollo" por el de entornos de "preproducción".

Se aclaró que los datos reales del PAN no se utilizan en entornos de preproducción, excepto cuando se cumplen todos los requisitos aplicables de PCI DSS.

Se actualizó el título del requisito principal para incluir los componentes del sistema y los datos de titulares de tarjetas.

Nuevo requisito para funciones y responsabilidades.

Se eliminó el requisito 7.1 de la versión 3.2.1 que habla sobre procedimientos documentados específicos, y se añadieron procedimientos de prueba para verificar las políticas y los procedimientos de cada requisito relacionado.

El requisito aclarado se refiere a la definición de un modelo de control de acceso.

Los requisitos 7.1.2 y 7.1.3 de la versión 3.2.1 se combinan para asignar el acceso en función de la clasificación, en función del puesto de trabajo y los mínimos privilegios.

El requisito aclarado se refiere a la aprobación de los privilegios requeridos por parte del personal autorizado.

Nuevo requisito de revisión de todas las cuentas de usuario y privilegios de acceso relacionados.

Nuevo requisito para la asignación y gestión de todas las cuentas de aplicaciones, cuentas de sistemas y los privilegios de acceso relacionados.

Nuevo requisito de revisión de todos los accesos a través de aplicaciones y cuentas del sistema, y de los privilegios de acceso relacionados.

Se movió el requisito 8.7 de la versión 3.2.1, ya que se ajusta mejor al contenido del Requisito 7.

🧭 Se estandarizaron los términos “factor de autenticación” y “credenciales de autenticación”.

🧭 Se eliminó "usuarios no consumidores", y se aclaró en el resumen que los requisitos no aplican a las cuentas utilizadas por los consumidores (titulares de tarjetas).

🚧 Se eliminó la nota del resumen en la cual se enumeraban los requisitos que no aplican para las cuentas de usuario con acceso a un solo número de tarjeta a la vez para facilitar una sola transacción, y se añadió esa nota a cada requisito relacionado.

Nuevo requisito para funciones y responsabilidades.

Se agregó una nota indicando que este requisito no está destinado para aplicarse a las cuentas de usuario de los terminales de punto de venta que sólo tienen acceso a un número de tarjeta a la vez para facilitar una única transacción.

🧬 Se cambió el enfoque del requisito para permitir el uso de credenciales de autenticación compartida, pero sólo de forma excepcional.

🧭 Se agregó una nota indicando que este requisito no está destinado para aplicarse a las cuentas de usuario de los terminales de punto de venta que sólo tienen acceso a un número de tarjeta a la vez para facilitar una única transacción.

Se trasladaron los requisitos 8.5 y 8.5.1 de la versión 3.2.1 que hablan sobre las cuentas de grupo, compartidas o genéricas, y para los proveedores de servicios con acceso remoto a las instalaciones del cliente, al requisito 8.2.

Se agregó una nota indicando que este requisito no está destinado para aplicarse a las cuentas de usuario de los terminales de punto de venta que sólo tienen acceso a un número de tarjeta a la vez para facilitar una única transacción.

Se agregó una nota indicando que este requisito no está destinado para aplicarse a las cuentas de usuario de los terminales de punto de venta que sólo tienen acceso a un número de tarjeta a la vez para facilitar una única transacción.

🚧 Los requisitos 8.1.6 y 8.1.7 de la versión 3.2.1 son fusionados y trasladados bajo el requisito 8.3.

🚧 Se agregó una nota indicando que este requisito no está destinado para aplicarse a las cuentas de usuario de los terminales de punto de venta que sólo tienen acceso a un número de tarjeta a la vez para facilitar una única transacción.

🧬 Se aumentó el número de intentos de autenticación inválidos antes de bloquear un ID de usuario de seis a 10 intentos.

Se aclara que este requisito sólo aplica si se utilizan contraseñas/frases de paso como factor de autenticación para cumplir el requisito 8.3.1.

Nuevo requisito para aumentar la longitud de las contraseñas, de una longitud mínima de siete caracteres a una longitud mínima de 12 caracteres (o si el sistema no admite 12 caracteres, una longitud mínima de ocho caracteres).

Se aclara que este requisito sólo se aplica si se utilizan contraseñas/frases de paso como factor de autenticación para cumplir el requisito 8.3.1.

Se agregó una nota indicando que este requisito no está destinado para aplicarse a las cuentas de usuario de los terminales de punto de venta que sólo tienen acceso a un número de tarjeta a la vez para facilitar una única transacción.

Se agregó una nota indicando que este requisito no está destinado para aplicarse a las cuentas de usuario de los terminales de punto de venta que sólo tienen acceso a un número de tarjeta a la vez para facilitar una única transacción.

Se trasladó el contenido sobre la comunicación de las políticas y procedimientos de autenticación de usuarios al requisito 8.3.

🧭 Se aclara que este requisito sólo se aplica si se utilizan contraseñas/frases de paso como único factor de autenticación para el acceso de usuarios (por ejemplo, en cualquier implementación de autenticación de un solo factor).

🧭 Se agregó una nota indicando que este requisito no está destinado para aplicarse a las cuentas de usuario de los terminales de punto de venta que sólo tienen acceso a un número de tarjeta a la vez para facilitar una única transacción.

🧭 Se agregó una nota indicando que este requisito no se aplica a las cuentas de clientes de proveedores de servicios, pero se aplica a las cuentas del personal del proveedor de servicios.

🧬 Se añadió la opción de determinar el acceso a los recursos de forma automática mediante el análisis dinámico de la postura de seguridad de las cuentas, en lugar de cambiar las contraseñas/frases de paso al menos una vez cada 90 días.

Se trasladó el contenido de un antiguo procedimiento de prueba a un requisito para proveedores de servicios para que proporcionen orientación a los clientes sobre el cambio de contraseñas/frases de paso.

Se añadió una nota en la que se indica que este requisito será sustituido por el requisito 8.3.10.1 una vez que el requisito 8.3.10.1 entre en vigor.

Nuevo requisito sólo para proveedores de servicios: si las contraseñas/frases de paso son el único factor de autenticación para el acceso de sus clientes, entonces las contraseñas/frases de paso se cambian al menos una vez cada 90 días o el acceso a los recursos se determina automáticamente analizando de forma dinámica la postura de seguridad de las cuentas.

Se añadió una nota en la que se indica que este requisito no se aplica a las cuentas de los usuarios consumidores que acceden a la información de sus tarjetas de pago.

Se trasladó el requisito 8.6 de la versión 3.2.1 relacionado con factores de autenticación, tales como tokens de seguridad físicos o lógicos, tarjetas inteligentes y certificados, al requisito 8.3.

Nuevo requisito para implementar la autenticación multifactor (MFA) para todos los accesos al CDE.

Se añadió una nota para aclarar que el MFA es necesario para ambos tipos de acceso especificados bajo los requisitos 8.4.2 y 8.4.3, y que la aplicación de MFA a un tipo de acceso no sustituye la necesidad de aplicar otra instancia de MFA al otro tipo de acceso.

Nuevo requisito para la implementación segura de sistemas de autenticación multifactor.

Nuevo requisito para la gestión de las cuentas de sistemas o de aplicaciones que pueden utilizarse para el inicio de sesión interactivo.

Nuevo requisito para evitar que contraseñas/frases de paso estén incrustadas en el código de archivos o scripts para cualquier cuenta de aplicación y sistema que pueda utilizarse para el inicio de sesión interactivo.

Nuevo requisito para proteger contraseñas/frases de paso en las cuentas de aplicaciones y sistemas contra el uso indebido.

El requisito 8.7 de la versión 3.2.1 se cambió de lugar, al requisito 7.2.6.1 en la versión 4.0, ya que se ajusta mejor al contenido del Requisito 7.

En el resumen, se aclararon las tres áreas diferenciadas que cubre el requisito 9 (áreas sensibles, CDE e instalaciones).

En todo momento se aclaró si el requisito se aplica al CDE, a las zonas sensibles o a las instalaciones.

Nuevo requisito para funciones y responsabilidades.

Se añadió un requisito para abordar un punto del procedimiento de prueba anterior a fin de restringir el acceso a las consolas en áreas sensibles mediante el bloqueo cuando no se utilizan.

Se dividió el requisito 9.2 de la versión 3.2.1 para identificar al personal y a los visitantes en requisitos separados.

Se combinaron los requisitos 9.4, 9.4.1 y 9.4.2 de la versión 3.2.1, que hablan sobre autorizar y gestionar el acceso de los visitantes, conjuntamente en el requisito 9.3.2.

Se eliminó el requisito 9.5 de la versión 3.2.1 que habla sobre los procedimientos para asegurar físicamente los medios de almacenamiento, y se fusionaron los procedimientos en los requisitos relacionados.

Se dividió el requisito para almacenar los medios de copias de seguridad en un lugar seguro, y revisar la seguridad de la ubicación de las copias sin conexión, al menos cada 12 meses.

Se eliminó el requisito 9.6 de la versión 3.2.1 que habla sobre los procedimientos para la distribución interna y externa de los medios de almacenamiento, y se fusionaron los procedimientos en los requisitos relacionados.

Se eliminó el requisito 9.7 de la versión 3.2.1 que habla sobre los procedimientos para el control estricto sobre el almacenamiento y accesibilidad de los medios de almacenamiento, y se han fusionado los procedimientos en los requisitos relacionados.

Se dividió el requisito de mantener registros de inventario de medios de almacenamiento y realizar inventarios de estos medios anualmente.

Se eliminó el requisito 9.8 de la versión 3.2.1 que habla sobre los procedimientos para la destrucción de los medios de almacenamiento cuando ya no se necesitan, y se han fusionado los procedimientos en los requisitos relacionados.

Se aclaró que las opciones para destruir los medios de almacenamiento cuando ya no se necesitan incluyen tanto la destrucción de los soportes electrónicos, como la imposibilidad de recuperar los datos de titulares de tarjetas.

Se aclaró que el requisito se centra en los "dispositivos de punto de interacción (POI) que capturan los datos de las tarjetas de pago mediante la interacción física directa con el factor de forma de la tarjeta de pago".

Se aclaró que el requisito se aplica a los dispositivos POI desplegados que se utilizan en las transacciones con tarjeta presencial.

Nuevo requisito para definir la frecuencia de las inspecciones periódicas de los dispositivos POI en función del análisis de riesgos específicos de la entidad.

Se actualizó el título del requisito principal para reflejar el enfoque en los registros de auditoría, los componentes del sistema y los datos de titulares de tarjetas.

Se aclaró que estos requisitos no aplican para la actividad de consumidores (titulares de tarjetas).

Se ha sustituido el término "pistas de auditoría" por "registros de auditoría".

Nuevo requisito para funciones y responsabilidades.

Se han trasladado los requisitos de protección de los registros de auditoría al requisito 10.3.

Se combinan los requisitos 10.5.3 y 10.5.4 de la versión 3.2.1 para alinear temas similares.

Se han trasladado los requisitos de revisión de los registros de auditoría al requisito 10.4.

Nuevo requisito para usar mecanismos automatizados para realizar las revisiones de registros de auditoría.

Nuevo requisito para que un análisis de riesgos específico defina la frecuencia de las revisiones periódicas de los registros de auditoría para todos los demás componentes del sistema (no definidos en el requisito 10.4.1).

Se trasladó el requisito del histórico de registros de auditoría, que corresponde al requisito 10.7 de la versión 3.2.1, al requisito 10.5.1.

Se trasladaron y reorganizaron los requisitos para la sincronización horaria bajo el requisito 10.6.

Se trasladó el requisito 10.8 de la versión 3.2.1 que pide que los proveedores de servicios detecten, alerten y solucionen rápidamente los fallos en los sistemas de control de seguridad críticos, al requisito 10.7.1.

Nuevo requisito para que todas las entidades detecten, alerten y solucionen rápidamente los fallos en los sistemas de control de seguridad críticos.

Este nuevo requisito se aplica a todas las entidades, incluyendo dos controles de seguridad críticos adicionales no incluidos en el requisito 10.7.1, para los proveedores de servicios.

Nuevo requisito para responder rápidamente a los fallos de cualquier control de seguridad crítico.

Para los proveedores de servicio, este es el requisito actual PCI DSS v3.2.1.

Para todas las demás entidades (que no son proveedores de servicio): se trata de un nuevo requisito.

Actualización menor del título del requisito principal.

Nuevo requisito para funciones y responsabilidades.

Se aclaró que la intención del requisito es gestionar tanto los puntos de acceso inalámbricos autorizados, como los no autorizados.

Se aclaró que este requisito aplica incluso cuando existe una política que prohíbe el uso de la tecnología inalámbrica.

Nuevo requisito para gestionar el resto de las vulnerabilidades aplicables (las que no están clasificadas como de alto riesgo o críticas) encontradas durante las exploraciones internas de vulnerabilidades.

Nuevo requisito para realizar escaneos internos de vulnerabilidad mediante escaneo autenticado.

Se separó el requisito 11.2.3 de la versión 3.2.1 que pide realizar escaneos de vulnerabilidades internas y externas, y volver a escanear después de cualquier cambio significativo, en un requisito de escaneo interno (11.3.1.3) y otro externo (11.3.2.1).

Se aclaró lo siguiente:

Se aclaró que los hallazgos de las pruebas de penetración son correctos de acuerdo con la evaluación del riesgo de la entidad que representa el problema de seguridad.

Nuevo requisito para proveedores de servicios en la nube/host, para respaldar a sus clientes en las pruebas de penetración externas.

Nuevo requisito para proveedores de servicios para utilizar técnicas de detección, intrusión y/o intrusión-prevención que detecten, alerten/impiden y aborden los canales de comunicación de programas maliciosos encubiertos.

Nuevo requisito para desplegar un mecanismo de detección de cambios y manipulaciones que alerten sobre modificaciones no autorizadas en los encabezados HTTP y en el contenido de las páginas de pago que recibe el navegador del consumidor.

Se trasladó el requisito 11.1.2 de la versión 3.2.1 que habla sobre los procedimientos de respuesta a incidentes si se detectan puntos de acceso inalámbricos no autorizados, para alinearlo con otros elementos de respuesta a incidentes.

Se trasladó el requisito 11.5.1 de la versión 3.2.1 que habla sobre responder a las alertas generadas por la solución de detección de cambios, para alinearlo con otros elementos de respuesta a incidentes.

Se actualizó el título del requisito principal para reflejar que se centra en las políticas y programas organizacionales que apoyan la seguridad de la información.

Se añadió el reconocimiento formal de sus responsabilidades por parte del personal.

Se aclaró que las responsabilidades se asignan formalmente a un Director de Seguridad Informática, o a otro miembro de la dirección ejecutiva que tiene conocimientos de seguridad de la información.

Se fusionaron requisitos para asignar formalmente la responsabilidad de la seguridad de la información.

Se aclaró que la intención del requisito es para las políticas de uso aceptable de las tecnologías para usuarios finales.

Se fusionaron y eliminaron los requisitos para centrarse en la aprobación explícita de la dirección, los usos aceptables de las tecnologías y una lista de productos de hardware y software aprobados por la empresa para el uso de los empleados.

Se eliminó el requisito 12.3.10 de la versión 3.2.1, y se agregó el nuevo requisito 3.4.2 de controles técnicos, para evitar la copia y/o la reubicación de datos PAN cuando se utilizan tecnologías de acceso remoto.

Nuevo requisito para realizar un análisis de riesgo específico a cualquier requisito de PCI DSS que proporciona flexibilidad en la frecuencia con la que se realiza.

Nuevo requisito para las entidades que utilizan un enfoque personalizado para desempeñar un análisis de riesgo específico para cada requisito de PCI DSS.

Este requisito entra en vigor inmediatamente para todas las entidades que se someten a una evaluación v4.0, y que utilizan un enfoque personalizado.

Nuevo requisito de documentar y revisar las secuencias de cifrado y los protocolos criptográficos en uso al menos una vez cada 12 meses.

Nuevo requisito de revisar las tecnologías de hardware y software en uso, al menos una vez cada 12 meses.

Se trasladaron los requisitos de las revisiones para confirmar que el personal está realizando las tareas de PCI DSS de acuerdo con las políticas y los procedimientos en el requisito 12.4, para alinearlos con otros requisitos de gestión de las actividades de cumplimiento de PCI DSS.

Se trasladó el requisito 2.4 de la versión 3.2.1 al requisito 12.5 de la versión 4.0, para alinearlo con otros requisitos de documentación y validación del alcance de PCI DSS.

Nuevo requisito de documentar y confirmar el alcance de PCI DSS al menos cada 12 meses, y cuando se produzcan cambios significativos en el entorno contemplado.

Nuevo requisito para que los proveedores de servicios documenten y confirmen el alcance de PCI DSS al menos una vez cada seis meses, y cuando se produzcan cambios significativos en el entorno contemplado.

Nuevo requisito para los proveedores de servicios para hacer una revisión documentada (interna) del impacto en el alcance de PCI DSS y la aplicabilidad de los controles en caso de cambios significativos en la estructura organizativa.

Se aclara que la intención es que todo el personal conozca la política de seguridad de la información de la entidad y su papel en la protección de los datos de los titulares de las tarjetas.

Nuevo requisito de revisar y actualizar (según sea necesario) el programa de concienciación sobre la seguridad de la información, al menos una vez cada 12 meses.

Se fusionan los requisitos 12.6.1 y 12.6.2 de la versión 3.2.1, para la formación en materia de concienciación sobre la seguridad.

Nuevo requisito para la formación en materia de concienciación de seguridad que incluye la concienciación ante amenazas y vulnerabilidades que podrían impactar la seguridad del CDE.

Nuevo requisito de formación en materia de concienciación sobre seguridad que incluye la concientización sobre el uso aceptable de las tecnologías de usuario final, de acuerdo con el requisito 12.2.1.

Se reemplazó “Proveedor de Servicios” con Proveedor de Servicios Externos (TPSP).

Se aclaró que el uso de un TPSP que cumpla con PCI DSS, no hace que una entidad esté en cumplimiento con PCI DSS, ni elimina la responsabilidad de la entidad por su propio cumplimiento de PCI DSS.

Se reemplazó “Proveedor de Servicios” con Proveedor de Servicios Externos (TPSP).

Se reemplazó “Proveedor de Servicios” con Proveedor de Servicios Externos (TPSP).

Se reemplazó “Proveedor de Servicios” con Proveedor de Servicios Externos (TPSP).

Se aclaró que cuando una entidad posee un acuerdo que tiene un TPSP para cumplir con los requisitos de PCI DSS en nombre de la entidad, esta última debe trabajar con el TPSP para asegurarse de que se cumplan los requisitos de PCI DSS aplicables. Si el TPSP no cumple con los requisitos de PCI DSS aplicables, entonces esos requisitos tampoco “están vigentes” para la entidad.

Se reemplazó “Proveedor de Servicios” con Proveedor de Servicios Externos (TPSP).

Se aclaró que la información sobre los requisitos de PCI DSS gestionada por el TPSP y la entidad deben incluir cualquier tipo de información compartida entre el TPSP y la entidad.

Nuevo requisito para que los proveedores de servicios apoyen las solicitudes de información de sus clientes en el cumplimiento de los requisitos 12.8.4 y 12.8.5.

Se sustituyó "violación del sistema" y "compromiso" por "incidente de seguridad sospechoso o confirmado".

Se reemplazaron las “alertas” por "incidentes de seguridad sospechosos o confirmados".

Se sustituyó "violación del sistema" con "incidente de seguridad sospechoso o confirmado".

Nuevo requisito para realizar un análisis de riesgos específico a fin de definir la frecuencia de la capacitación periódica del personal de respuesta ante incidentes.

Se fusionaron los requisitos y se actualizaron los sistemas de monitoreo de seguridad que se deben supervisar y atender como parte del plan de respuesta ante incidentes para incluir lo siguiente:

Nuevo requisito para procedimientos de respuesta a incidentes que se iniciarán cuando se detecte que hay datos PAN almacenados en un lugar inadecuado.

El requisito 1.1.4 de la versión 3.2.1 se eliminó en la versión 4.0 por ser redundante.

Se eliminó el requisito "nulo" (todo el contenido apuntaba a otros requisitos).

El requisito 1.3.4 de la versión 3.2.1 se eliminó en la versión 4.0 por ser redundante.

Se eliminó el requisito "nulo" (todo el contenido apuntaba a otros requisitos).

Se eliminó el requisito (todo el contenido apuntaba a otros requisitos).

Se eliminó el requisito (todo el contenido apuntaba a otros requisitos).

Se eliminó el requisito (todo el contenido apuntaba a otros requisitos).

Se eliminó el requisito (todo el contenido apuntaba a otros requisitos).

Se eliminó el requisito (todo el contenido apuntaba a otros requisitos).

Se eliminó el requisito “nulo” (todo el contenido apuntaba a otros requisitos).

Se eliminó el requisito de realizar una evaluación formal de los riesgos en toda la organización, y se sustituyó por el análisis de riesgos específicos (12.3.1 y 12.3.2).

Se eliminó el requisito (todo el contenido apuntaba a otros requisitos).

Se eliminó el requisito (todo el contenido apuntaba a otros requisitos).