25/03/15Opdatering omkring de kommende PCI-DDS krav

Vi har tidligere omtalte vi de kommende ændringer for PCI-DSS version 3.0 og den kommende version 3.1 af kravene som en direkte følge af de seneste sårbarheder i SSL protokollen.

Vi vil fortsætte med at holde dig opdateret om kommende ændringer i standarden.

Det Nationale Institut for Standarder og Teknologi (NIST) har identificeret SSL v3.0 protokollen som værende usikker, og på den baggrund kommer der en ny version 3.1 af PCI-DSS kravene, som betyder at SSL ikke længere vil kunne accepteres som en sikker forbindelse.

Efterfølgeren til SSL er TLS (Transport Layer Security) og dens mest aktuelle version af denne er TLS 1.2.

TLS 1.2  opfylder for øjeblikket PCI-SSC’s (Payment Card Industry – Security Standards Council) definition af “stærk kryptering”.

PTS POI terminaler (enheder som et magnetkort læsere eller chipkortlæsere der muliggør at en forbruger kan foretage betaling med kreditkort) er også ramt af denne ændring, men grundet vanskeligheden i udnyttelsen af SSL sårbarhederne, vil disse terminaler ikke blive prioriteret af PCI-SSC – modsat web applikationer, og browsere som er mere udsatte for disse sårbarheder i SSL protokollen.

Hvilke krav i PCI-DSS standarden bliver direkte påvirket af de kommende ændringer.

Ændringerne påvirker alle krav i PCI DSS standarden, hvor der henvises SSL som et eksempel på “stærk kryptering”.

Specifikt betyder det ændringer i kravene 2.2.3, 2.3 og 4.1.

Ændringerne vil få betydning for samtlige formularer der refererer til PCI-DSS, herunder: Self-Assessment Questionaire (SAQ), Attestering Of Compliance (AOC), og Rapport om Compliance (ROC).

Hvornår vil PCI-DSS version 3.1 træde i kraft.

PCI-SSC arbejder stadig på den opdaterede standard, men intentionen er at den vil blive publiceret i april måned dette år.

Herefter vil den officielt træde i kraft. Dog vil der blive en – endnu ikke fastsat – overgangsfase, som tillader migrering fra SSL til TLS protokollen.
Af Niel Nielsen, Senior it-sikkerhedskonsulent hos Digicure 

Nyhedsoversigt