ما هي التغييرات التي طرأت على معيار PCI DSS ، ومن الذي سيؤثر عليها وما تحتاج إلى معرفته

نشر مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC) تدقيقًا لمعيار PCI DSS 3.2.1. ووفقًا لممثلي المنظمة ، فإن هذا الإصدار يشمل فقط توضيحات طفيفة ، لكنها مرحلة تمهيدية قبل إصدار نسخة جديدة من المعيار ، والتي من المتوقع أن تكون في عام 2020. ما تم فعله ولماذا ، نقول أدناه.


/ صور Blue Coat Photos CC

ماذا ولماذا تغيرت

فقط لاحظ أنه لا توجد متطلبات جديدة في هذا الإصدار. وفقا لتروي ليتش ، المدير الفني لـ PCI SSC ، فإن الهدف 3.2.1 هو القضاء على الارتباك مع التواريخ.

يقوم الإصدار بإجراء ثلاثة تغييرات على المستند الرئيسي:

1. تم حذف جميع الملاحظات ، حيث تم في 1 فبراير ذكر معيار PCI DSS 3.2 في وقت بدء النفاذ. يتم ذلك من أجل القضاء على الارتباك المحتمل ، لأن هذا التاريخ "في الماضي".
2. الآن MFA (المصادقة متعددة العوامل) ليس مقياسًا تعويضيًا للتحكم. للوصول الإداري ليس من وحدة التحكم ، المصادقة متعددة العوامل إلزامية - يمكن أن تعمل كلمات المرور لمرة واحدة كأداة للتحكم في الوصول.
3. تمت إضافة ملاحظة أنه بعد 30 يونيو 2018 ، يمكن فقط لمحطات POS و POI وعقدها المتصلة بشبكة الموفر استخدام SSL / TLS أدناه الإصدار 1.2. في حالات أخرى ، تحتاج إلى استخدام TLS 1.2.

يتم نشر الوثيقة القياسية الكاملة على الموقع الرسمي لـ PCI SSC ، ويمكن العثور على معلومات حول تعديلات أخرى أصغر في الوثيقة الرسمية . بعد ذلك ، سنحلل من سيتأثر بالتغييرات المذكورة أعلاه.

لماذا تحتاج المؤسسات إلى الترقية إلى TLS 1.2

وفقًا لـ PCI DSS ، في 30 يونيو ، سيتعين على المؤسسات (باستثناء الحالة المشار إليها سابقًا) التبديل إلى بروتوكولات تشفير البيانات الأكثر أمانًا ، على سبيل المثال ، TLS الإصدار 1.2 أو أعلى.

يرجع الشرط إلى حقيقة أن SSLv3 والإصدارات السابقة من TLS اكتشفت نقاط ضعف ، على سبيل المثال ، احتمال هجوم POODLE. يسمح للمهاجم باستخراج المعلومات المغلقة من قناة اتصال مشفرة.

في حركة المرور المشفرة ، يمكنك العثور على الكتل الخاصة وعزلها باستخدام العلامات المرسلة إلى الموقع عن طريق كود خبيث مكتوب بلغة جافا سكريبت. يرسل المهاجم سلسلة من الطلبات المزيفة ، وبالتالي يكتسب القدرة على إعادة بناء محتويات البيانات التي تهمه ، حرفًا تلو الآخر ، مثل ملفات تعريف الارتباط.

الخطر الرئيسي هو أن المخترق يمكن أن يجبر العميل على استخدام SSLv3 ، يحاكي قطع الاتصال. لذلك ، تصر PCI SSC على إدخال TLS 1.2 حتى 30 يونيو. يجب على جميع الشركات التي لم تكمل النقل بعد أن تتقدم بطلب إلى الشركة بحالة بائع المسح الضوئي المعتمد (ASV) وتتلقى أدلة وثائقية على أنها تنفذ خطة للحد من المخاطر وستكمل عملية الترحيل إلى الموعد النهائي.

يمكن العثور على معلومات حول إجراءات الترحيل والمتطلبات ذات الصلة والأسئلة الشائعة في ملحق المعيار المنشور بواسطة PCI SSC .


/ صور Blue Coat Photos CC

من سيتأثر بالتغييرات؟

ستؤثر التغييرات على مقدمي الخدمات والشركات التجارية. يمكن لمقدمي الخدمة السماح للتجار باستخدام بروتوكولات SSL / TLS قديمة فقط إذا أكد الموفر نفسه توفر عناصر التحكم التي تقلل من مخاطر إنشاء مثل هذه الاتصالات. في الوقت نفسه ، يجب على مقدمي الخدمات إبلاغ عملائهم بانتظام حول المشاكل المحتملة عند استخدام إصدارات سابقة من SSL.

بالنسبة للمؤسسات التجارية نفسها ، يُسمح لها باستخدام SSL / TLS إذا كانت نقاط البيع POS و POI الخاصة بها محمية من ثغرات البروتوكول المعروفة. ومع ذلك ، مع ظهور برمجيات إكسبلويت جديدة محتملة الخطورة ، يجب تحديث البروتوكوالت الطرفية على الفور.

مرة أخرى عن التوقيت

الموعد النهائي لتنفيذ متطلبات الإصدار السابق من المعيار (3.2) هو 31 ديسمبر 2018. تنفيذ متطلبات PCI DSS 3.2.1 قبل 1 يناير 2019.

أما بالنسبة لتطوير نسخة جديدة من المعيار ، فهو قيد التنفيذ بالفعل. تحقيقا لهذه الغاية ، لا يزال PCI SSC يجمع ويحلل التعليقات من المنظمات الأعضاء في المجتمع. من المقرر إصدار PCI DSS بالكامل في 2020.

---

ملاحظة: بعض المواد من مدونة IaaS الأولى للشركات:

• ما الذي تبحث عنه عند اختيار خدمة استضافة سحابية PCI DSS
• مطبات شهادة PCI DSS: CVV وتسجيل الهاتف
• كيف حصلنا على شهادة PCI DSS IaaS Cloud

مواد PPS حول هذا الموضوع من مدونة حبري:

• "أصبحت الإنترنت أكثر أمانًا إلى حد ما": توافق IETF على TLS 1.3
• كيفية الحصول على شهادة PCI DSS: IT Grad Experience
• CLOUD AST: مشروع قانون أمريكي جديد يفتح الوصول إلى البيانات الشخصية في الخارج