PCI DSS 4.0: Cumplir sin Frenar la Modernización del Core

El 31 de marzo de 2025, PCI DSS dejó de ser una lista que se revisa una vez al año. Ahora es una forma de operar todos los días.

Para cualquier institución que procese, almacene o transmita datos de tarjeta —banco, fintech, cooperativa—, esa fecha marcó el momento en que la versión 4.0.1 del estándar pasó a ser obligatoria en su totalidad. Y la buena noticia, contraintuitiva, es esta: cumplirla y modernizar tu core no son objetivos en tensión. Bien hechos, son el mismo proyecto.

Qué cambió, en orden

Vale la pena tener clara la línea de tiempo, porque hay confusión de versiones:

• Marzo de 2022: se publica PCI DSS v4.0, la primera revisión mayor en más de una década, según el PCI Security Standards Council.

• Junio de 2024: aparece v4.0.1, una revisión limitada —corrige redacción y aclara intención, sin agregar ni quitar requisitos—, como confirmó el propio PCI SSC.

• 31 de marzo de 2024: se retira la v3.2.1, de acuerdo con el PCI SSC.

• 31 de diciembre de 2024: v4.0.1 queda como la única versión activa, según el comunicado del PCI SSC.

• 31 de marzo de 2025: los requisitos "con fecha futura", que hasta entonces eran buenas prácticas, se vuelven obligatorios; de los 64 requisitos nuevos, 51 entraron en vigor en esa fecha.

Si tu última evaluación se hizo contra la 3.2.1, hoy no estás en cumplimiento.

El cambio de fondo: de checklist a continuo

Más allá de los controles puntuales, 4.0 trajo un cambio de filosofía. La seguridad deja de ser un esfuerzo anual de auditoría para volverse "business as usual": evidencia a lo largo del año de que los controles funcionan, no una foto el día de la evaluación. A eso se suma el "enfoque personalizado", la novedad más importante del estándar: junto al método prescriptivo de siempre, ahora puedes cumplir el objetivo de seguridad de cada requisito con tus propios controles técnicos, si documentas cómo lo logras —un giro de auditoría anual a monitoreo continuo y análisis de riesgos—.

Los controles que más impacto tienen para una institución financiera:

• Autenticación más estricta. MFA resistente a phishing para accesos administrativos y al entorno de datos, contraseñas de al menos 12 caracteres y MFA para todo acceso al CDE, no solo el de administradores.

• Páginas de pago a prueba de skimming. Todo script que se ejecute en una página de pago debe estar inventariado, autorizado y con monitoreo de integridad que alerte cambios no autorizados, revisado al menos cada siete días (requisitos 6.4.3 y 11.6.1). Es la respuesta directa a los ataques tipo Magecart.

• Escaneo interno autenticado y revisión automatizada de logs. Se acabó la revisión manual: se exige automatización y análisis de riesgos específicos que definan frecuencias.

Por qué tu core decide cuánto duele

Aquí está el cruce con la modernización, y es donde muchas instituciones no conectan los puntos. El costo y el dolor de cumplir PCI DSS dependen menos del estándar y más de la arquitectura sobre la que corres.

Un core heredado, monolítico, donde los datos de tarjeta están dispersos por todo el sistema, convierte cada requisito en una pesadilla: el alcance (el "CDE", el entorno de datos del titular) abarca medio banco, la segmentación es frágil, y cada auditoría es una carrera contra el tiempo.

Un core moderno hace lo contrario. Con segmentación de red real, el alcance se reduce a una porción acotada y verificable. Con arquitectura API-first y tokenización, los datos sensibles dejan de tocar sistemas que no los necesitan —y la estrategia más eficaz frente a PCI sigue siendo esa: reducir la cantidad de datos de tarjeta en tu entorno, no blindar cada rincón—. Con MFA, monitoreo y registro automatizados de fábrica, el cumplimiento continuo deja de ser un proyecto y se vuelve una propiedad del sistema.

Dicho simple: modernizar bien el core es, en buena medida, cumplir PCI por diseño.

Cómo lo abordamos en WAU

En WAU tratamos el cumplimiento como un requisito de arquitectura, no como un trámite posterior. Diseñamos cores con segmentación, tokenización y controles automatizados que reducen el alcance de PCI y convierten la evaluación anual en evidencia continua. La modernización no te aleja del cumplimiento: te acerca.

Si te toca cerrar la brecha con 4.0.1 y prefieres hacerlo modernizando en lugar de parchando, hablemos. Te ayudamos a alinear seguridad y arquitectura en un solo plan. 👉 Agenda una conversación con nuestro equipo.

Fuentes

• PCI Security Standards Council — Now is the Time to Adopt the Future-Dated Requirements of PCI DSS v4.x (v4.0 mar 2022; v3.2.1 retirada 31-mar-2024; 51 de 64 requisitos obligatorios desde 31-mar-2025)

• PCI Security Standards Council — Just Published: PCI DSS v4.0.1 (jun 2024; revisión limitada sin requisitos nuevos/eliminados; única versión activa tras 31-dic-2024)

• ClearlyPayments — PCI DSS 4.0: Facts and Compliance Insights (v4.0 mar 2022; enfoque personalizado; de auditoría anual a monitoreo continuo, 2025)

• HYPR — PCI DSS 4.0 Authentication Requirements: MFA resistente a phishing y contraseñas de 12 caracteres (2024)

• Foregenix — Introducción de los nuevos requisitos 6.4.3 y 11.6.1 de PCI DSS v4.0 (scripts de páginas de pago, ≥cada 7 días, anti-Magecart)