Nuevos criterios de elegibilidad para el SAQ A: ¿Qué implica este cambio anunciado por el PCI SSC?

Como compañía QSA especializada en Compliance, los expertos de A2SECURE han resaltado los aspectos clave que serán de gran utilidad para las empresas afectadas por este cambio.

El 30 de enero de 2025, el PCI Security Standards Council (PCI SSC) anunció una actualización significativa que impacta directamente a los comerciantes que validan su cumplimiento a través del Self-Assessment Questionnaire A (SAQ A). Este anuncio marca un cambio relevante en los criterios de elegibilidad, lo que obligará a muchos negocios a reevaluar cómo cumplen con los requisitos del PCI DSS.

Históricamente, el SAQ A ha sido una opción utilizada por aquellos comerciantes que externalizan completamente la gestión de datos de tarjetas de pago a proveedores conforme al estándar PCI. Sin embargo, los recientes ajustes publicados en la página oficial del PCI SSC suprimen algunos controles que antes eran necesarios para calificar bajo el SAQ A correspondiente a la nueva versión v4.0.1.

Sin duda, estos cambios generan cierta incertidumbre sobre la aplicabilidad de algunos controles. Por este motivo, es fundamental que las empresas comprendan en detalle qué significan estos cambios y cómo podrían impactar a su proceso de cumplimiento.

¿Cuáles son los principales cambios de la actualización de la PCI V4.0.1?

Tras el proceso de análisis y la revisión de los comentarios efectuados por las partes interesadas de la industria del sector de medios de pago, el PCI Security Standards Council (PCI SSC) ha realizado actualizaciones específicas al SAQ A.

Estas actualizaciones se sintetizan en dos puntos clave; por un lado, la eliminación de requisitos y, por otro, la inclusión de un nuevo requisito de elegibilidad.

Eliminación de requisitos

Se han retirado dos controles que iban a ser considerados “obligatorios” por la entidad a partir del 31 de marzo de 2025:

• 6.4.3. Todos los scripts de las páginas de pago que se cargan y ejecutan en el navegador del consumidor se gestionan de la siguiente manera:
  • Se implementa un método para confirmar que cada script está autorizado.
  • Se implementa un método para asegurar la integridad de cada script.
  • Se mantiene un inventario de todos los scripts con una justificación empresarial o técnica por escrito que explique su necesidad.
• 11.6.1. El mecanismo de detección de cambios y manipulaciones se despliega de la siguiente manera:
  • Para enviar alertas al personal sobre modificaciones no autorizadas (incluyendo indicadores de situaciones comprometidas, cambios, adiciones y supresiones) en los encabezados HTTP que afectan la seguridad y en el contenido de script de las páginas de pago tal y como las recibe el navegador del consumidor.
  • El mecanismo está configurado para evaluar el encabezamiento HTTP y la página de pago recibidas.
  • Las funciones del mecanismo se realizan de la siguiente manera:
    • Al menos semanalmente
    • Periódicamente, (a una frecuencia definida en el análisis de riesgos específico de la entidad, el cual se desarrolla de acuerdo a todos los elementos especificados en el Requisito 12.3.1.)

En paralelo, se ha eliminado el requisito 12.3.1, también previsto como obligatorio a partir del 31 de marzo de 2025:

• 12.3.1. Para cada requisito de PCI DSS que especifique completar un análisis de riesgo específico, se debe documentar el análisis e incluir:
  • Identificación de los activos a proteger.
  • Identificación de las amenazas contra las que protege el requisito.
  • Identificación de factores que contribuyen a la probabilidad y/o impacto de que se materialice una amenaza.
  • Análisis resultante que determine e incluya la justificación sobre cómo la frecuencia o los procesos definidos por la entidad para cumplir el requisito minimizan la probabilidad y/o el impacto de que se materialice la amenaza.
  • Revisión de cada análisis de riesgo específico al menos una vez cada 12 meses para determinar si los resultados siguen siendo válidos o si se necesita un análisis de riesgo actualizado.
  • Realización de análisis de riesgos actualizados cuando sea necesario, según lo determinado por la revisión anual.

NOTA: En el caso del SAQ A, este requisito sólo aplica a comercios que hayan elegido la opción de realizar un análisis de riesgos específico para definir la frecuencia con la que se realizan las funciones del mecanismo de detección de cambios y manipulaciones (requerimiento 11.6.1).

Nuevo requisito de elegibilidad: Confirmación de que la página web está libre de vulnerabilidades

El PCI SSC establece que, para que los comerciantes puedan eliminar algunos de los controles previamente requeridos, primero deben cumplir con una nueva condición.

Concretamente, la condición es confirmar que sus sitios web no son vulnerables a ataques mediante scripts que puedan comprometer sus sistemas de comercio electrónico.