Versión corta:
Versión larga:
PCI DSS 3.1 se lanzó hace dos semanas, el 14 de abril de 2015. Se establece que
SSL y TLS inicial no se consideran criptografía fuerte y no pueden ser
utilizado como control de seguridad después del 30 de junio de 2016.
En diciembre de 2015, la fecha de para migrar las aplicaciones existentes se retrasó dos años :
El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) es
extensión de la fecha de finalización de la migración hasta el 30 de junio de 2018 para
transición de SSL y TLS 1.0 a una versión segura de TLS
(actualmente v1.1 o superior).
Estas fechas proporcionadas por PCI SSC a partir de diciembre de 2015 sustituyen a
Fechas originales emitidas en ambos PCI Data Security Standard v3.1 (DSS
3.1) y en la Migración de SSL y el Suplemento de información TLS a principios de abril de 2015.
Según tengo entendido, las "nuevas aplicaciones" aún deben implementarse de acuerdo con el nuevo requisito de 1.1+; la extensión solo se aplica a las aplicaciones existentes que utilizaron TLS 1.0 antes de abril de 2015.
La definición de lo que significa "TLS temprano" es el tema del debate fascinado entre los QSA, pero es seguro decir que 1.0 es parte de él (y 1.1? ¡Podría ser! ¡Espere y averigüe!). (Actualización: a partir de diciembre de 2015, 1.1 sigue siendo "seguro")
Aquí es cómo TrustWave dice que están implementando estas directrices:
- Las nuevas implementaciones deben usar alternativas a SSL y TLS anterior.
- Las organizaciones con implementaciones existentes de SSL y TLS temprana deben tener implementado un plan de migración y mitigación de riesgos.
- Antes del 30 de junio de 2016, los proveedores de escaneo aprobados (ASV) pueden documentar la recepción de una migración y mitigación de riesgos de una organización
como excepción en el informe de análisis de ASV (de acuerdo con el
Guía del programa ASV).
- Los dispositivos de punto de venta (POS) o punto de interacción (POI) que pueden verificarse como no susceptibles a todas las vulnerabilidades conocidas de SSL y
TLS temprano puede continuar usando estos protocolos como control de seguridad
después del 30 de junio de 2016.
Por lo tanto, si se trata de una aplicación nueva, es posible que deba eliminar la compatibilidad con TLS 1.0. Si no es así, oprima TrustWave y descubra qué tipo de "plan de migración y mitigación de riesgos" requieren.
(Al sacar el enlace de @ mti2935 de los comentarios, aquí está Plantilla del plan de riesgo de Trustwave . ¡Gracias @ mti2935!)