Perubahan apa yang terjadi pada standar PCI DSS, siapa yang akan terpengaruh dan apa yang perlu Anda ketahui

Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC) telah menerbitkan audit standar PCI DSS 3.2.1. Menurut perwakilan organisasi, rilis ini hanya mencakup klarifikasi kecil, tetapi ini merupakan tahap persiapan sebelum rilis versi standar baru, yang diharapkan pada tahun 2020. Apa yang dilakukan dan mengapa, kami sampaikan di bawah ini.


/ foto Blue Coat Foto CC

Apa dan mengapa sudah berubah

Perhatikan bahwa tidak ada persyaratan baru dalam versi ini. Menurut Troy Leach, Direktur Teknis PCI SSC, tujuan 3.2.1 adalah untuk menghilangkan kebingungan dengan tanggal.

Rilis ini membuat tiga perubahan pada dokumen utama:

1. Semua catatan dihapus di mana, pada 1 Februari, disebutkan dibuat standar PCI DSS 3.2 pada saat berlakunya. Hal ini dilakukan untuk menghilangkan kemungkinan kebingungan, karena tanggal ini adalah "di masa lalu."
2. Sekarang MFA (otentikasi multi-faktor) bukan ukuran kontrol kompensasi. Untuk akses administratif bukan dari konsol, otentikasi multifaktor wajib - kata sandi satu kali dapat bertindak sebagai alat kontrol akses.
3. Sebuah catatan telah ditambahkan bahwa setelah 30 Juni 2018 hanya terminal POS dan POI dan node mereka yang terhubung ke jaringan penyedia dapat menggunakan SSL / TLS di bawah versi 1.2. Dalam kasus lain, Anda harus menggunakan TLS 1.2.

Dokumen standar lengkap diterbitkan di situs web PCI SSC resmi , dan informasi mengenai suntingan lain yang lebih kecil dapat ditemukan di dokumen resmi . Selanjutnya, kami akan menganalisis siapa yang akan terpengaruh oleh perubahan di atas.

Mengapa organisasi perlu meningkatkan ke TLS 1.2

Menurut PCI DSS, pada 30 Juni, organisasi (kecuali untuk kasus yang disebutkan sebelumnya) harus beralih ke protokol enkripsi data yang lebih aman, misalnya, TLS versi 1.2 atau lebih tinggi.

Persyaratan ini disebabkan oleh fakta bahwa SSLv3 dan versi TLS sebelumnya menemukan kerentanan, misalnya, kemungkinan serangan POODLE. Ini memungkinkan penyerang untuk mengekstrak informasi tertutup dari saluran komunikasi terenkripsi.

Dalam lalu lintas terenkripsi, Anda dapat menemukan dan mengisolasi blok khusus dengan tag yang dikirim ke situs oleh kode berbahaya yang ditulis dalam JavaScript. Penyerang mengirimkan serangkaian permintaan palsu, sehingga memperoleh kemampuan untuk karakter-demi-karakter merekonstruksi isi data yang menarik baginya, seperti cookie.

Bahaya utama adalah bahwa seorang hacker dapat memaksa klien untuk menggunakan SSLv3, meniru pemutusan. Oleh karena itu, PCI SSC bersikeras untuk memperkenalkan TLS 1.2 hingga 30 Juni. Semua perusahaan yang belum menyelesaikan transisi harus berlaku untuk perusahaan dengan status Approved Scanning Vendor (ASV) dan menerima bukti dokumenter bahwa mereka menerapkan rencana pengurangan risiko dan akan menyelesaikan migrasi ke batas waktu.

Informasi tentang prosedur migrasi, persyaratan yang relevan, dan FAQ dapat ditemukan di lampiran standar yang diterbitkan oleh PCI SSC .


/ foto Blue Coat Foto CC

Siapa yang akan terpengaruh oleh perubahan?

Perubahan akan memengaruhi penyedia layanan dan perusahaan dagang. Penyedia dapat mengizinkan pedagang untuk menggunakan protokol SSL / TLS yang ketinggalan jaman hanya jika penyedia itu sendiri telah mengkonfirmasi ketersediaan kontrol yang mengurangi risiko membangun koneksi seperti itu. Pada saat yang sama, penyedia layanan harus secara teratur memberi tahu pelanggan mereka tentang kemungkinan masalah saat menggunakan versi SSL sebelumnya.

Sedangkan untuk perusahaan dagang sendiri, mereka diizinkan untuk menggunakan SSL / TLS jika terminal POS dan POI mereka dilindungi dari kerentanan protokol yang diketahui. Namun, dengan munculnya eksploitasi baru yang berpotensi berbahaya, protokol terminal harus segera diperbarui.

Sekali lagi tentang waktunya

Batas waktu untuk menerapkan persyaratan versi standar sebelumnya (3.2) adalah 31 Desember 2018. Terapkan persyaratan PCI DSS 3.2.1 sebelum 1 Januari 2019.

Adapun pengembangan versi standar baru, itu sudah berlangsung. Untuk tujuan ini, PCI SSC masih mengumpulkan dan menganalisis umpan balik dari organisasi anggota masyarakat. Rilis PCI DSS lengkap dijadwalkan untuk tahun 2020.

---

PS Beberapa bahan dari Blog IaaS Perusahaan Pertama:

• Apa yang harus dicari ketika memilih layanan cloud hosting PCI DSS
• Perangkap Sertifikasi PCI DSS: CVV dan Perekaman Telepon
• Bagaimana Kami Menyertifikasi PCI DSS IaaS Cloud

Materi PPS tentang topik dari blog di Habré:

• “Internet telah menjadi sedikit lebih aman”: IETF menyetujui TLS 1.3
• Cara Mendapatkan Sertifikasi PCI DSS: IT Grad Experience
• CLOUD AST: RUU AS Baru Membuka Akses ke Data Pribadi Di Luar Negeri