Quais mudanças ocorreram no padrão PCI DSS, quem afetarão e o que você precisa saber sobre

O Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC) publicou uma auditoria do padrão PCI DSS 3.2.1. Segundo representantes da organização, este comunicado inclui apenas pequenos esclarecimentos, mas é um estágio preparatório antes do lançamento de uma nova versão do padrão, prevista para 2020. O que foi feito e por quê, contamos abaixo.


/ photo Fotos de casaco azul CC

O que e por que mudaram

Observe que não há novos requisitos nesta versão. De acordo com Troy Leach, diretor técnico do PCI SSC, o objetivo 3.2.1 é eliminar a confusão com as datas.

O release faz três alterações no documento principal:

1. Todas as notas foram excluídas quando, em 1º de fevereiro, foi feita referência ao padrão PCI DSS 3.2 no momento da entrada em vigor. Isso é feito para eliminar possíveis confusões, pois esta data está "no passado".
2. Agora, o MFA (autenticação multifatorial) não é uma medida compensatória de controle. Para acesso administrativo que não é do console, a autenticação multifator é obrigatória - senhas descartáveis ​​podem atuar como uma ferramenta de controle de acesso.
3. Foi adicionada uma observação que, após 30 de junho de 2018, apenas os terminais POS e POI e seus nós conectados à rede do provedor podem usar SSL / TLS abaixo da versão 1.2. Em outros casos, você precisa usar o TLS 1.2.

O documento padrão completo é publicado no site oficial do PCI SSC e informações sobre outras edições menores podem ser encontradas no documento oficial . Em seguida, analisaremos quem será afetado pelas alterações acima.

Por que as organizações precisam atualizar para o TLS 1.2

De acordo com o PCI DSS, em 30 de junho, as organizações (exceto o caso indicado anteriormente) terão que mudar para protocolos de criptografia de dados mais seguros, por exemplo, TLS versão 1.2 ou superior.

O requisito se deve ao fato de o SSLv3 e as versões anteriores do TLS descobrirem vulnerabilidades, por exemplo, a possibilidade de um ataque POODLE. Ele permite que um invasor extraia informações fechadas de um canal de comunicação criptografado.

No tráfego criptografado, você pode encontrar e isolar blocos especiais com tags enviadas ao site por código malicioso escrito em JavaScript. O invasor envia uma série de solicitações falsas, ganhando assim a capacidade de caractere por caractere reconstruir o conteúdo dos dados que lhe interessam, como cookies.

O principal perigo é que um hacker pode forçar um cliente a usar SSLv3, emulando desconexões. Portanto, o PCI SSC insiste na introdução do TLS 1.2 até 30 de junho. Todas as empresas que ainda não concluíram a transição devem se inscrever na empresa com o status de Fornecedor de Digitalização Aprovado (ASV) e receber evidências documentadas de que estão implementando um plano de redução de risco e concluirão a migração para o prazo.

Informações sobre o procedimento de migração, requisitos relevantes e as perguntas frequentes podem ser encontradas no apêndice ao padrão publicado pelo PCI SSC .


/ photo Fotos de casaco azul CC

Quem será afetado pelas mudanças?

As mudanças afetarão os provedores de serviços e as empresas comerciais. Os fornecedores podem permitir que os comerciantes usem protocolos SSL / TLS desatualizados apenas se o próprio fornecedor confirmar a disponibilidade de controles que reduzem os riscos de estabelecer essas conexões. Ao mesmo tempo, os provedores de serviços devem informar regularmente seus clientes sobre possíveis problemas ao usar versões anteriores do SSL.

Quanto às próprias empresas comerciais, elas podem usar SSL / TLS se seus terminais POS e POI estiverem protegidos contra vulnerabilidades conhecidas do protocolo. No entanto, com o advento de novas explorações potencialmente perigosas, os protocolos de terminal precisarão ser atualizados imediatamente.

Mais uma vez sobre o timing

O prazo para implementar os requisitos da versão anterior da norma (3.2) é 31 de dezembro de 2018. Implemente os requisitos do PCI DSS 3.2.1 antes de 1 de janeiro de 2019.

Quanto ao desenvolvimento de uma nova versão do padrão, ele já está em andamento. Para esse fim, o PCI SSC ainda está coletando e analisando o feedback das organizações membros da comunidade. Uma versão completa do PCI DSS está agendada para 2020.

---

PS Alguns materiais do primeiro blog corporativo de IaaS:

• O que procurar ao escolher um serviço de hospedagem em nuvem PCI DSS
• Armadilhas para certificação PCI DSS: gravação em CVV e telefone
• Como certificamos a nuvem PCI DSS IaaS

Materiais PPS sobre o tópico do blog em Habré:

• “A Internet se tornou um pouco mais segura”: IETF aprova TLS 1.3
• Como obter a certificação PCI DSS: Experiência em TI
• CLOUD AST: Novo projeto de lei nos EUA abre acesso a dados pessoais no exterior