Por qué PCI 4.0.1 pesa más que 4.0
PCI DSS 4.0 entró en vigor obligatorio el 31 de marzo de 2024. Varios requisitos con fecha futura pasaron a ser exigibles el 31 de marzo de 2025, y 4.0.1 — la versión de erratas y aclaraciones — es la que hoy usan los QSA y los bancos adquirentes. Para pequeños comerciantes en Orange County con restaurantes, tiendas, e-commerce o SaaS con páginas de pago, la pregunta práctica es: qué debo hacer diferente en 2026 que no hacía en 2024. Aquí la respuesta directa.
A quién aplica en realidad
Si acepta, transmite o almacena datos de tarjeta — incluso si Stripe o Square procesa el pago — está en alcance a algún nivel. Los SAQ A y SAQ A-EP son los formularios más comunes para pequeños comerciantes. No asuma que su plataforma e-commerce es SAQ A: si su página de pago carga cualquier script, puede caer en SAQ A-EP, que es mucho más exigente. Su adquirente define su nivel.
Los 10 cambios que importan a pequeños comerciantes en 2026
1. MFA en todo el entorno de datos de tarjeta
La autenticación multifactor ahora se exige para todo acceso al entorno de datos de tarjeta, no solo para administradores, incluidos portales de proveedores.
2. Análisis de riesgo dirigido (TRA) para elementos flexibles
Varios controles (rotación de contraseñas, cadencia de revisión de logs, frecuencia de escaneo antimalware) se pueden flexibilizar con un TRA documentado y revisado anualmente.
3. Gestión de scripts en páginas de pago (6.4.3 y 11.6.1)
El talón de Aquiles de SAQ A-EP. Inventaríe cada script, justifique su uso y detecte cambios no autorizados. Herramientas: CSP, SRI y un servicio de monitoreo de scripts.
4. Defensas técnicas contra phishing
Se esperan controles técnicos (DMARC en reject, filtrado de URL, sandbox de adjuntos): la capacitación por sí sola no basta.
5. Escaneos internos autenticados
Los escaneos trimestrales internos deben ser autenticados, no solo banner grabs.
6. Contraseñas más fuertes
Mínimo 12 caracteres donde sea posible, con validación contra contraseñas comprometidas.
7. Inventario criptográfico
Lista de cada certificado, llave y protocolo en uso, con seguimiento de expiraciones. No espere a una caída para descubrir un certificado vencido.
8. Hashes con llave para PAN almacenado
Si convierte el PAN a no legible mediante hashing, debe ser un hash criptográfico con llave.
9. Matriz de responsabilidad con proveedores de servicio
Documente qué controles cubre cada proveedor (Stripe, AWS, su MSP) y cuáles son suyos.
10. Pruebas de respuesta a incidentes
Debe probar su plan de IR al menos anualmente, sea tabletop o técnico, y documentar los resultados.
Trampas de alcance en nube y e-commerce
Comerciantes en Shopify, WooCommerce, BigCommerce o stacks personalizados suelen sorprenderse con la expansión del alcance. En cuanto incrusta un formulario de pago que recibe datos en el contexto de su navegador — en lugar de redirigir o usar un iframe totalmente hospedado — típicamente pasa de SAQ A a SAQ A-EP. Hable con su adquirente antes de cambios de front-end. Vea nuestra guía de segmentación de red.
Lista de validación para su SAQ 2026
Confirme por escrito con su adquirente el tipo de SAQ actual
Documente MFA en todo acceso al CDE, incluidos proveedores
Publique inventario de scripts de la página de pago con justificación y detección de cambios
Aplique DMARC en p=reject con SPF/DKIM alineados
Ejecute un escaneo interno autenticado y un escaneo ASV externo este trimestre
Realice un tabletop con finanzas, TI, legal y comunicaciones
Construya la matriz de responsabilidad con proveedores (Stripe, AWS, MSP, correo, WAF)
Refresque los análisis de riesgo dirigidos y fírmelos
Preguntas frecuentes
Usamos Stripe, ¿estamos liberados?
No. Aún valida PCI, típicamente SAQ A o A-EP. Stripe cubre muchos controles, pero la gestión de scripts y la autenticación de correo son suyas.
¿Cuál es la fecha de 4.0.1?
4.0.1 sustituyó a 4.0 en 2024. Los requisitos con fecha futura se hicieron obligatorios el 31 de marzo de 2025. Las evaluaciones de 2026 usan 4.0.1.
¿Necesito un QSA?
La mayoría de los pequeños comerciantes se autoevalúa. Su adquirente le indicará si requiere evaluación on-site.
¿Qué pasa si incumplimos?
Cargos por incumplimiento, costos transaccionales mayores y — tras una brecha — sanciones contractuales y estatales. En California, exposición a CCPA.
¿Necesita ayuda para cerrar brechas?
BitBlockIT apoya a comerciantes de Orange County con ciberseguridad gestionada, TI gestionada y proyectos de remediación PCI. Comience con una evaluación gratuita o contáctenos. Más lectura: cumplimiento y Zero Trust para PYMES.
BitBlockIT provides managed IT services, cybersecurity, cloud solutions, and IT consulting for Orange County and Southern California businesses. This page may describe our services, areas we serve, resources, blog, or contact information.
Loading…
