Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago exige un estricto inventario de certificados, gestión TLS y controles del ciclo de vida de claves criptográficas para asegurar los entornos de datos de los titulares de tarjetas.
PCI DSS v4.0 (publicado en marzo de 2022, obligatorio en marzo de 2025) es el estándar global para proteger los datos de los titulares de tarjetas. Desarrollado por el PCI Security Standards Council, se aplica a cualquier organización que almacene, procese o transmita información de tarjetas de pago.
Requisito 4.2.1 ahora exige explícitamente un inventario de certificados y la gestión de la configuración TLS — convirtiendo la gestión del ciclo de vida de los certificados en un requisito de cumplimiento, no solo una buena práctica. Esto representa un cambio significativo para las organizaciones que anteriormente trataban la gestión de certificados como una preocupación operativa más que como una obligación de cumplimiento.
Los requisitos 3 y 4 cubren el cifrado de datos almacenados y transmitidos, mientras que el requisito 8 aborda la autenticación. Juntos, estos requisitos crean un marco de control criptográfico integral que exige una gestión rigurosa del ciclo de vida de las claves, desde la generación hasta la destrucción.
Las organizaciones deben mantener un inventario de claves y certificados de confianza, y gestionar las configuraciones TLS para proteger los datos de los titulares de tarjetas en tránsito.
Los datos del titular de la tarjeta almacenados deben cifrarse utilizando criptografía fuerte con procedimientos adecuados de gestión de claves a lo largo del ciclo de vida de la clave.
Los datos del titular de la tarjeta transmitidos a través de redes abiertas y públicas deben protegerse con cifrado TLS fuerte utilizando certificados gestionados adecuadamente.
Se requiere autenticación multifactor y autenticación basada en certificados para el acceso administrativo a los entornos de datos del titular de la tarjeta.
Los sistemas y el software deben desarrollarse y mantenerse de forma segura, incluyendo la validación adecuada de certificados en aplicaciones personalizadas.
Todo acceso a los recursos de red y a los datos de los titulares de tarjetas debe registrarse y monitorearse, incluyendo operaciones de certificados y eventos de uso de claves.
La primera versión del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago se publica, estableciendo requisitos de seguridad básicos para la protección de los datos de los titulares de tarjetas.
La versión ampliamente adoptada que consolida actualizaciones previas, con requisitos aclarados para la encriptación y las prácticas de gestión de claves.
Revisión mayor publicada en marzo de 2022, que introduce el Requisito 4.2.1 para el inventario de certificados y controles criptográficos mejorados.
PCI DSS v3.2.1 retirado oficialmente en marzo de 2024. Todas las evaluaciones deben usar ahora v4.0 como estándar base.
Todos los requisitos con fecha futura en PCI DSS v4.0 se vuelven obligatorios en marzo de 2025, incluidos los controles mejorados de gestión de certificados y TLS.
PCI DSS v4.0 eleva la gestión de certificados y claves de una práctica operativa recomendada a un requisito de cumplimiento explícito. Aquí están las áreas críticas:
El requisito 4.2.1 exige explícitamente a las organizaciones mantener un inventario completo de claves y certificados de confianza utilizados para proteger los datos del titular de la tarjeta en tránsito.
Todos los flujos de datos del titular de la tarjeta deben usar TLS configurado correctamente con certificados válidos, lo que requiere una monitorización continua de las configuraciones TLS en toda la infraestructura de pagos.
Los requisitos 3.6 y 3.7 exigen una gestión completa del ciclo de vida de las claves — desde la generación y distribución hasta el almacenamiento, la rotación y la destrucción segura de claves criptográficas.
El requisito 8 admite la autenticación basada en certificados para el acceso administrativo a entornos de datos de titulares de tarjetas, requiriendo procesos robustos de aprovisionamiento y revocación de certificados.
Inventario automatizado de certificados — Horizon satisface directamente el Requisito 4.2.1 con descubrimiento continuo e inventario de todos los certificados en su entorno de datos de titulares de tarjetas.
Monitoreo de TLS & aplicación de políticas — Monitorear continuamente las configuraciones de TLS y aplicar políticas de seguridad para garantizar un cifrado conforme en todos los flujos de datos de pago.
Renovación automática de certificados — Evitar el tiempo de inactividad del sistema de pagos con flujos de trabajo de renovación automáticos que garantizan que los certificados nunca expiren inesperadamente.
Informes de cumplimiento listos para auditoría — Generar informes exhaustivos alineados con los requisitos PCI DSS, agilizando las evaluaciones QSA y demostrando cumplimiento continuo.
