Welche Änderungen wurden am PCI-DSS-Standard vorgenommen, auf wen werden sie sich auswirken und was müssen Sie wissen?

Das PCI SSC (Payment Card Industry Security Standards Board) hat eine Prüfung des PCI DSS 3.2.1-Standards veröffentlicht. Laut Vertretern der Organisation enthält diese Pressemitteilung nur geringfügige Klarstellungen, ist jedoch eine Vorbereitungsphase vor der Veröffentlichung einer neuen Version des Standards, die für 2020 erwartet wird. Was getan wurde und warum, erzählen wir unten.


/ Foto Blue Coat Fotos CC

Was und warum haben sich geändert

Beachten Sie nur, dass diese Version keine neuen Anforderungen enthält. Laut Troy Leach, Technischer Direktor von PCI SSC, besteht das Ziel 3.2.1 darin, Verwechslungen mit Daten zu vermeiden.

In der Version werden drei Änderungen am Hauptdokument vorgenommen:

1. Alle Notizen wurden gelöscht, wobei am 1. Februar zum Zeitpunkt des Inkrafttretens der PCI DSS 3.2-Standard erwähnt wurde. Dies geschieht, um mögliche Verwirrung zu vermeiden, da dieses Datum "in der Vergangenheit" liegt.
2. Jetzt ist MFA (Multi-Faktor-Authentifizierung) keine kompensatorische Kontrollmaßnahme. Für den Administratorzugriff, der nicht über die Konsole erfolgt, ist die Multifaktorauthentifizierung obligatorisch. Einmalkennwörter können als Zugriffskontrolltool fungieren.
3. Es wurde ein Hinweis hinzugefügt, dass nach dem 30. Juni 2018 nur POS- und POI-Terminals und deren Knoten, die eine Verbindung zum Netzwerk des Anbieters herstellen, SSL / TLS unter Version 1.2 verwenden können. In anderen Fällen müssen Sie TLS 1.2 verwenden.

Das vollständige Standarddokument wird auf der offiziellen PCI SSC-Website veröffentlicht. Informationen zu anderen, kleineren Änderungen finden Sie im offiziellen Dokument . Als nächstes werden wir analysieren, wer von den oben genannten Änderungen betroffen ist.

Warum Unternehmen ein Upgrade auf TLS 1.2 durchführen müssen

Laut PCI DSS müssen Unternehmen (mit Ausnahme des zuvor angegebenen Falls) am 30. Juni auf sicherere Datenverschlüsselungsprotokolle umsteigen, z. B. TLS Version 1.2 oder höher.

Die Anforderung beruht auf der Tatsache, dass SSLv3 und frühere Versionen von TLS Schwachstellen entdeckt haben , z. B. die Möglichkeit eines POODLE-Angriffs. Es ermöglicht einem Angreifer, geschlossene Informationen aus einem verschlüsselten Kommunikationskanal zu extrahieren.

Im verschlüsselten Verkehr können Sie spezielle Blöcke mit Tags finden und isolieren, die durch in JavaScript geschriebenen Schadcode an die Site gesendet werden. Der Angreifer sendet eine Reihe von gefälschten Anfragen, wodurch er die Möglichkeit erhält, den Inhalt der Daten, die ihn interessieren, wie z. B. Cookies, zeichenweise zu rekonstruieren.

Die Hauptgefahr besteht darin, dass ein Hacker einen Client zur Verwendung von SSLv3 zwingen kann, um Verbindungsabbrüche zu emulieren. Daher besteht PCI SSC auf der Einführung von TLS 1.2 bis zum 30. Juni. Alle Unternehmen, die den Übergang noch nicht abgeschlossen haben, sollten sich an das Unternehmen mit dem Status "Approved Scanning Vendor" (ASV) wenden und dokumentarische Nachweise dafür erhalten, dass sie einen Risikominderungsplan implementieren und die Migration bis zum Stichtag abschließen.

Informationen zum Migrationsverfahren, zu den relevanten Anforderungen und zu den häufig gestellten Fragen finden Sie im Anhang zum von PCI SSC veröffentlichten Standard .


/ Foto Blue Coat Fotos CC

Wer ist von den Änderungen betroffen?

Änderungen wirken sich auf Dienstleister und Handelsunternehmen aus. Anbieter können Händlern nur dann die Verwendung veralteter SSL / TLS-Protokolle gestatten, wenn der Anbieter selbst die Verfügbarkeit von Steuerelementen bestätigt hat, die das Risiko des Aufbaus solcher Verbindungen verringern. Gleichzeitig sollten Dienstanbieter ihre Kunden regelmäßig über mögliche Probleme bei der Verwendung früherer SSL-Versionen informieren.

Die Handelsunternehmen selbst dürfen SSL / TLS verwenden, wenn ihre POS- und POI-Terminals vor bekannten Protokollschwachstellen geschützt sind. Mit dem Aufkommen neuer potenziell gefährlicher Exploits müssen die Terminalprotokolle jedoch sofort aktualisiert werden.

Noch einmal über das Timing

Die Frist für die Umsetzung der Anforderungen der Vorgängerversion des Standards (3.2) endet am 31. Dezember 2018. Implementieren Sie die PCI DSS 3.2.1-Anforderungen vor dem 1. Januar 2019.

Die Entwicklung einer neuen Version des Standards ist bereits im Gange. Zu diesem Zweck sammelt und analysiert PCI SSC immer noch Feedback von Community-Mitgliedsorganisationen. Eine vollständige PCI DSS-Version ist für 2020 geplant.

---

PS Einige Materialien aus dem ersten Corporate IaaS-Blog:

• Worauf Sie bei der Auswahl eines Cloud-Hosting-Dienstes PCI DSS achten sollten
• Fallstricke bei der PCI-DSS-Zertifizierung: CVV- und Telefonaufzeichnung
• Wie wir die PCI DSS IaaS Cloud zertifiziert haben

PPS-Materialien zum Thema aus dem Blog über Habré:

• „Das Internet ist etwas sicherer geworden“: IETF genehmigt TLS 1.3
• So erhalten Sie eine PCI DSS-Zertifizierung: IT-Abschlusserfahrung
• CLOUD AST: Neue US-Gesetzesvorlage eröffnet Zugang zu personenbezogenen Daten im Ausland