पेमेंट कार्ड इंडस्ट्री सिक्योरिटी स्टैंडर्ड्स बोर्ड (PCI SSC) ने PCI DSS 3.2.1 मानक का
एक ऑडिट
प्रकाशित किया है। संगठन के प्रतिनिधियों के अनुसार, इस रिलीज़ में केवल मामूली स्पष्टीकरण शामिल हैं, लेकिन यह मानक के एक नए संस्करण की रिलीज़ से पहले एक प्रारंभिक चरण है, जो 2020 में होने की उम्मीद है। क्या किया गया था और क्यों, हम नीचे बताते हैं।
/ फोटो ब्लू कोट तस्वीरें सीसीक्या और क्यों बदल गया है
बस ध्यान दें कि इस संस्करण में कोई नई आवश्यकताएं नहीं हैं। ट्राई लीच, पीसीआई एसएससी तकनीकी निदेशक के अनुसार, 3.2.1 का लक्ष्य तारीखों के साथ भ्रम को खत्म करना है।
रिलीज़ मुख्य दस्तावेज़ में तीन बदलाव करता है:
- सभी नोटों को हटा दिया गया था, जहां 1 फरवरी को उल्लेख किया गया था कि बल में प्रवेश के समय पीसीआई डीएसएस 3.2 मानक से बना था। यह संभव भ्रम को खत्म करने के लिए किया जाता है, क्योंकि यह तारीख "अतीत में है।"
- अब एमएफए (मल्टी-फैक्टर ऑथेंटिकेशन) नियंत्रण का प्रतिपूरक उपाय नहीं है । कंसोल से नहीं प्रशासनिक पहुँच के लिए, मल्टीफ़ॉर्मर प्रमाणीकरण अनिवार्य है - एक बार का पासवर्ड एक्सेस कंट्रोल टूल के रूप में कार्य कर सकता है।
- एक नोट जोड़ा गया है कि 30 जून, 2018 के बाद केवल पीओएस और पीओआई टर्मिनलों और प्रदाता के नेटवर्क से जुड़ने वाले उनके नोड्स संस्करण 1.2 के नीचे एसएसएल / टीएलएस का उपयोग कर सकते हैं। अन्य मामलों में, आपको टीएलएस 1.2 का उपयोग करने की आवश्यकता है।
पूर्ण मानक दस्तावेज़
आधिकारिक पीसीआई एसएससी वेबसाइट पर प्रकाशित
किया गया है , और अन्य पर जानकारी, छोटे
दस्तावेज़ आधिकारिक दस्तावेज़ में पाए जा सकते
हैं । अगला, हम विश्लेषण करेंगे कि उपरोक्त परिवर्तनों से कौन प्रभावित होगा।
संगठनों को टीएलएस 1.2 में अपग्रेड करने की आवश्यकता क्यों है
PCI DSS के अनुसार, 30 जून को, संगठनों (पहले से संकेतित मामले को छोड़कर) को अधिक सुरक्षित डेटा एन्क्रिप्शन प्रोटोकॉल पर स्विच करना होगा, उदाहरण के लिए, TLS संस्करण 1.2 या उच्चतर।
आवश्यकता इस तथ्य के कारण है कि टीएलएस के एसएसएलवी 3 और उससे पहले के संस्करणों
ने कमजोरियों की
खोज की , उदाहरण के लिए, एक पेडीले हमले की संभावना। यह एक हमलावर को एक एन्क्रिप्टेड संचार चैनल से बंद जानकारी निकालने की अनुमति देता है।
एन्क्रिप्ट किए गए ट्रैफ़िक में, आप जावास्क्रिप्ट में लिखे गए दुर्भावनापूर्ण कोड द्वारा साइट पर भेजे गए टैग के साथ विशेष ब्लॉक
पा सकते हैं और अलग
कर सकते हैं । हमलावर नकली अनुरोधों की एक श्रृंखला भेजता है, जिससे चरित्र-दर-चरित्र प्राप्त करने की क्षमता उस डेटा की सामग्री को फिर से संगठित करती है जो उसे रुचि देती है, जैसे कि कुकीज़।
मुख्य खतरा यह है कि एक हैकर
एक ग्राहक को एसएसवी 3
का उपयोग
करने के लिए
बाध्य कर सकता है , डिस्कनेक्ट का अनुकरण कर सकता है। इसलिए, पीसीआई एसएससी टीएलएस 1.2 को 30 जून तक पेश करने पर जोर देता है। सभी कंपनियों ने जो संक्रमण अभी तक पूरा नहीं किया है, कंपनी को स्वीकृत स्कैनिंग विक्रेता (एएसवी) की स्थिति के साथ आवेदन
करना चाहिए और दस्तावेजी सबूत प्राप्त करना चाहिए कि वे जोखिम में कमी की योजना को लागू कर रहे हैं और समयसीमा के लिए प्रवास को पूरा करेंगे।
माइग्रेशन प्रक्रिया, प्रासंगिक आवश्यकताओं, और FAQ के बारे में जानकारी
PCI SSC द्वारा प्रकाशित मानक के
परिशिष्ट में पाई जा सकती है।
/ फोटो ब्लू कोट तस्वीरें सीसीपरिवर्तन से कौन प्रभावित होगा?
परिवर्तन सेवा प्रदाताओं और व्यापारिक कंपनियों
को प्रभावित करेगा । प्रदाता व्यापारियों को पुराने SSL / TLS प्रोटोकॉल का उपयोग करने की अनुमति केवल तभी दे सकते हैं जब प्रदाता ने स्वयं नियंत्रण की उपलब्धता की पुष्टि की है जो ऐसे कनेक्शन स्थापित करने के जोखिम को कम करता है। उसी समय, सेवा प्रदाताओं को नियमित रूप से अपने ग्राहकों को एसएसएल के पुराने संस्करणों का उपयोग करते समय संभावित समस्याओं के बारे में सूचित करना चाहिए।
स्वयं ट्रेडिंग उद्यमों के लिए, उन्हें SSL / TLS का उपयोग करने की अनुमति दी जाती है यदि उनके POS और POI टर्मिनल ज्ञात प्रोटोकॉल भेद्यताओं से सुरक्षित हैं। हालांकि, नए संभावित खतरनाक कारनामों के आगमन के साथ, टर्मिनल प्रोटोकॉल को तुरंत अपडेट करना होगा।
एक बार फिर टाइमिंग को लेकर
मानक के पिछले संस्करण (3.2) की आवश्यकताओं को लागू करने
की समय सीमा 31 दिसंबर, 2018 है। 1 जनवरी 2019 से पहले PCI DSS 3.2.1 आवश्यकताओं को लागू करें।
मानक के एक नए संस्करण के विकास के लिए, यह पहले से ही चल रहा है। इसके लिए, पीसीआई एसएससी अभी भी सामुदायिक सदस्य संगठनों से प्रतिक्रिया एकत्र कर रहा है और विश्लेषण कर रहा है। एक पूर्ण PCI DSS रिलीज़ 2020 के लिए निर्धारित है।
PS पहले कॉर्पोरेट IaaS ब्लॉग से कुछ सामग्री:
HPSé पर ब्लॉग से विषय पर PPS सामग्री: