Quels changements ont été apportés à la norme PCI DSS, qui vont-ils affecter et ce que vous devez savoir

Le PCI SSC (Payment Card Industry Security Standards Board) a publié un audit de la norme PCI DSS 3.2.1. Comme l'ont noté des représentants de l'organisation, cette version ne comprend que des clarifications mineures, mais il s'agit d'une étape préparatoire avant la publication d'une nouvelle version de la norme, qui est attendue en 2020. Ce qui a été fait et pourquoi, nous le disons plus bas


/ photo Blue Coat Photos CC

Quoi et pourquoi ont changé

Notez simplement qu'il n'y a pas de nouvelles exigences dans cette version. Selon Troy Leach, directeur technique PCI SSC, l'objectif 3.2.1 est d'éliminer la confusion avec les dates.

La version apporte trois modifications au document principal:

1. Toutes les notes ont été supprimées lorsque, le 1er février, il était fait mention de la norme PCI DSS 3.2 au moment de son entrée en vigueur. Ceci est fait afin d'éliminer toute confusion possible, car cette date est "dans le passé".
2. Désormais, l'authentification multifacteur (MFA) n'est pas une mesure compensatoire de contrôle. Pour l'accès administratif et non depuis la console, l'authentification multifacteur est obligatoire - les mots de passe à usage unique peuvent agir comme un outil de contrôle d'accès.
3. Une note a été ajoutée qu'après le 30 juin 2018, seuls les terminaux POS et POI et leurs nœuds se connectant au réseau du fournisseur peuvent utiliser SSL / TLS sous la version 1.2. Dans d'autres cas, vous devez utiliser TLS 1.2.

Le document standard complet est publié sur le site Web officiel de PCI SSC , et des informations sur d'autres modifications plus petites peuvent être trouvées dans le document officiel . Ensuite, nous analyserons qui sera affecté par les changements ci-dessus.

Pourquoi les organisations doivent mettre à niveau vers TLS 1.2

Selon PCI DSS, le 30 juin, les organisations (à l'exception du cas indiqué précédemment) devront passer à des protocoles de cryptage de données plus sécurisés, par exemple, TLS version 1.2 ou supérieure.

Cette exigence est due au fait que SSLv3 et les versions antérieures de TLS ont découvert des vulnérabilités, par exemple, la possibilité d'une attaque POODLE. Il permet à un attaquant d'extraire des informations fermées d'un canal de communication crypté.

Dans le trafic chiffré, vous pouvez trouver et isoler des blocs spéciaux avec des balises envoyées au site par un code malveillant écrit en JavaScript. L'attaquant envoie une série de fausses demandes, ce qui lui permet de reconstituer caractère par caractère le contenu des données qui l'intéressent, comme les cookies.

Le principal danger est qu'un pirate peut forcer un client à utiliser SSLv3, émulant des déconnexions. Par conséquent, PCI SSC insiste sur l'introduction de TLS 1.2 jusqu'au 30 juin. Toutes les entreprises qui n'ont pas encore terminé la transition doivent postuler auprès de l'entreprise ayant le statut de fournisseur de numérisation agréé (ASV) et recevoir des preuves documentaires qu'elles mettent en œuvre un plan de réduction des risques et achèveront la migration vers la date limite.

Vous trouverez des informations sur la procédure de migration, les exigences pertinentes et la FAQ dans l' annexe à la norme publiée par PCI SSC .


/ photo Blue Coat Photos CC

Qui sera touché par les changements?

Les changements affecteront les fournisseurs de services et les sociétés commerciales. Les fournisseurs peuvent autoriser les commerçants à utiliser des protocoles SSL / TLS obsolètes uniquement si le fournisseur lui-même a confirmé la disponibilité de contrôles qui réduisent les risques d'établir de telles connexions. Dans le même temps, les fournisseurs de services doivent informer régulièrement leurs clients des problèmes potentiels lors de l'utilisation de versions antérieures de SSL.

Quant aux entreprises commerciales elles-mêmes, elles sont autorisées à utiliser SSL / TLS si leurs terminaux POS et POI sont protégés contre les vulnérabilités de protocole connues. Cependant, avec l'avènement de nouveaux exploits potentiellement dangereux, les protocoles des terminaux devront être mis à jour immédiatement.

Encore une fois sur le timing

La date limite pour la mise en œuvre des exigences de la version précédente de la norme (3.2) est le 31 décembre 2018. Mettez en œuvre les exigences PCI DSS 3.2.1 avant le 1er janvier 2019.

Quant au développement d'une nouvelle version de la norme, il est déjà en cours. À cette fin, PCI SSC recueille et analyse toujours les commentaires des organisations membres de la communauté. Une version complète de PCI DSS est prévue pour 2020.

---

PS Quelques documents du premier blog IaaS d'entreprise:

• Que rechercher lors du choix d'un service d'hébergement cloud PCI DSS
• Pièges de la certification PCI DSS: CVV et enregistrement téléphonique
• Comment nous avons certifié le cloud PCI DSS IaaS

Matériaux PPS sur le sujet du blog sur Habré:

• «Internet est devenu un peu plus sûr»: l'IETF approuve TLS 1.3
• Comment obtenir la certification PCI DSS: expérience des diplômés en informatique
• CLOUD AST: un nouveau projet de loi américain ouvre l'accès aux données personnelles à l'étranger