PCI DSS v4 no es una revolución. Es una evolución con algunas aristas que toman por sorpresa a equipos pequeños.
Qué cambió
El cambio principal es el paso de controles prescriptivos a implementación personalizada. En v3.2.1, el estándar te decía exactamente qué hacer. En v4, ahora puedes argumentar que tu implementación logra el mismo objetivo por un camino diferente — siempre que puedas demostrarlo.
Para equipos pequeños, esto suena a libertad. En la práctica, es más trabajo: ahora tienes que documentar por qué tu enfoque es equivalente, no solo que hiciste la cosa.