15/04/15Nyt om PCI-DSS version 3.1

De nye PCI-DSS (Payment Card Industri – Data Security Standards) bliver offentliggjort idag, den 15. april 2015

Secure Sockets Layer (SSL) version 3.0 bliver i denne revision af PCI-DSS fjernet som eksempel på stærk kryptering, og må ikke bruges efter den 30. juni 2016

Det betyder, at fra dags dato, 15. april 2015, må nye installationer ikke mere benytte SSL som krypterings metode.

Eksisterende installationer, som benytter sig af SSL kryptering, skal kunne fremlægge en mitigeringsplan, for hvordan og hvornår (senest den 30. juni 2016) man vil eliminere brugen af SSL i løsninger.

Det skal understreges at de nye krav også gælder for ældre TLS (Transport Layer Security) installationer, hvilket betyder at TLS versioner ældre end TLSv1.2 er omfattet af samme betingelser.

Point of sale (POS) Point of interaction (POI) terminaler (og de SSL/TLS løsninger de forbinder sig til) som kan verificeres som ikke-sårbare overfor kendte browser sårbarheder i forhold til SSL/TLS, kan benytte SSL/TLS som sikker forbindelse, også efter 30. juni 2016.

PCI-SSC (Payment Card Industri – Security Standards Council) vil på et senere tidspunkt publisere dokumenter som beskriver hvordan man kan mitigere fra SSL/TLSv1.0 (og ældre) løsninger, på deres hjemmeside, som kan findes på følgende link: https://www.pcisecuritystandards.org/security_standards/documents.php

ASV scan rapporter vil nu følge disse nye skærpede krav, hvilket betyder:

SSL v3.0 og ældre TLS versioner vil få en CVSS (Common Vulnerability Score System) score på 4.3, hvilket vil medføre en status “Fail”, men eftersom der på tiden ikke er kendte løsninger, vil anbefalingen være at benytte en alternativ kryperingsløsning så snart som det er muligt.

For POS/POI løsninger, er det vigtigt at man overfor ASV (Approved Scanning Vendor) kan dokumentere at implementeringen er verificeret som ikke sårbar overfor kendte SSL/TLS sårbarheder. Så, selv om POS/POI implementeringer i første runde ikke er umiddelbart omhandlet, er der krav i forhold til at kunne dokumentere dette.

Af Niel Nielsen, Senior it-sikkerhedskonsulent hos Digicure  

Nyhedsoversigt