支付卡行业安全标准委员会(PCI SSC)已
发布了对PCI DSS 3.2.1标准
的审核。 根据该组织的代表,此版本仅包含少量说明,但这是在新版本标准(预计于2020年)发布之前的准备阶段。 做什么,为什么,我们在下面讲。
/照片Blue Coat Photos CC什么和为什么发生了变化
请注意,此版本没有新要求。 PCI SSC技术总监Troy Leach认为,目标3.2.1是消除与日期的混淆。
该版本对主文档进行了三处更改:
- 在2月1日生效时提到了PCI DSS 3.2标准的地方,所有注释都被删除。 这样做是为了消除可能的混淆,因为该日期是“过去”。
- 现在,MFA(多因素身份验证)已不是控制的补偿性措施。 对于不是从控制台进行管理访问,则必须进行多因素身份验证-一次性密码可以用作访问控制工具。
- 已添加注释,2018年6月30日之后,只有POS和POI终端及其连接到提供商网络的节点可以使用1.2版以下的SSL / TLS。 在其他情况下,您需要使用TLS 1.2。
完整的标准文档已发布
在PCI SSC官方网站上 ,有关其他较小修改的信息可
在此官方文档中找到 。 接下来,我们将分析谁会受到上述变化的影响。
为什么组织需要升级到TLS 1.2
根据PCI DSS,在6月30日,组织(除上述情况外)将不得不切换到更安全的数据加密协议,例如TLS 1.2或更高版本。
该要求是由于SSLv3和TLS的早期版本
发现了漏洞,例如POODLE攻击的可能性。 它允许攻击者从加密的通信通道中提取封闭的信息。
在加密的流量中,您可以查找和隔离带有通过JavaScript编写的恶意代码发送到站点的标签的特殊块。 攻击者发送一系列虚假请求,从而能够逐个字符地重建他感兴趣的数据内容(例如cookie)。
主要危险在于,黑客
可能迫使客户端使用SSLv3,模拟断开连接。 因此,PCI SSC坚持在6月30日之前引入TLS 1.2。 所有尚未完成过渡的公司
都应向状态为已批准扫描供应商(ASV)的公司提出申请,并收到证明其正在实施降低风险计划的书面证据,并将在截止日期之前完成迁移。
有关迁移过程,相关要求和FAQ的信息,可以在
PCI SSC发布的标准附录中找到。
/照片Blue Coat Photos CC谁将受到更改的影响?
变化
将影响服务提供商和贸易公司。 提供者只有在提供者本身已经确认可以降低建立此类连接风险的控件的可用性时,才允许商家使用过时的SSL / TLS协议。 同时,服务提供商应在使用早期版本的SSL时定期通知其客户有关可能出现的问题。
对于贸易企业本身,如果他们的POS和POI终端受到已知协议漏洞的保护,则允许他们使用SSL / TLS。 但是,随着新的潜在危险利用的出现,终端协议必须立即进行更新。
再次关于时间
实施旧版标准(3.2)要求
的截止日期为 2018年12月31日。 在2019年1月1日之前实施PCI DSS 3.2.1要求。
至于该标准的新版本的开发,它已经在进行中。 为此,PCI SSC仍在收集和分析社区成员组织的反馈。 完整的PCI DSS计划于2020年发布。
PS:第一个公司IaaS博客的一些资料:
来自Habré博客的有关该主题的PPS材料: