Eliminación de TLS1.0 y requisitos de PCI DSS

2

No será fácil) Como saben, hay nuevos requisitos de PCI DSS después del 30 de junio que dicen que no deberíamos usar" SSL / early TLS ".

Pero también están los comentarios de que los comerciantes podrían guardar TLS 1.0 pero con controles de compensación:

  

"Para los comerciantes que utilizan SSL / TLS anterior distinto al permitido para las conexiones del terminal POS POI:

     

1) Si se está utilizando SSL / early TLS como control de seguridad para PCI DSS   Después de la fecha límite del 30 de junio, asegúrese de que los controles de compensación sean   implementado para mitigar el riesgo asociado con su uso y tomar el   pasos necesarios para migrar a una alternativa segura tan pronto como sea   posible.
  2) Si SSL / early TLS está presente pero no se está utilizando como un   control de seguridad para cumplir con un requisito de PCI DSS, estos protocolos pueden   permanecer en uso Sin embargo, se recomienda encarecidamente que sean   migrado a un protocolo de encriptación más moderno lo antes posible ".

Mi empresa tiene un negocio de comercio electrónico y desea guardar TLS 1.0 para algunos clientes. La pregunta clave: ¿cuáles son los controles de compensación para este caso? Me refiero al acceso web habitual desde Internet público.

PD: acabo de comprobar, incluso los gigantes del comercio electrónico mundial como Ebay y Amazon siguen siendo compatibles con TLS1.0 para los clientes. ¿Es debido a los controles de compensación?

    
pregunta Vlad 25.07.2018 - 13:48
fuente

2 respuestas

2

No creo que haya un conjunto fijo de controles de compensación que pueda usar en todos los casos. La idea de un control de compensación es que usted reduce el riesgo de alguna manera que ha aumentado al permanecer con TLS 1.0. No creo que deba ser algo que mágicamente hace que TLS 1.0 sea más seguro nuevamente. El tipo de control de compensación que se necesita y es posible depende de su caso de uso específico, es decir, cuánto aumenta el riesgo de los clientes que usan TLS 1.0 y cómo puede reducirlo nuevamente.

Los controles de compensación para reducir el riesgo podrían ser, por ejemplo, limitar la cantidad de dinero que pueden transferir los clientes menos seguros dentro de un tiempo específico o por una sola clave API, para agregar algún seguro en caso de que algo salga mal, para haga que solo se pueda acceder a la interfaz TLS 1.0 desde unas pocas direcciones IP seleccionadas, etc. Por supuesto, un control de compensación también podría ser agregar una capa de cifrado adicional. Solo que, la mayoría de los clientes que no pueden pasar a TLS 1.2 porque dependen de una pila de software anterior probablemente tampoco sean lo suficientemente flexibles como para agregar algún cifrado adicional como mitigación.

    
respondido por el Steffen Ullrich 25.07.2018 - 13:56
fuente
1
  

¿Cuáles [son] los controles de compensación para este caso?

Posiblemente ninguno. Anteriormente, en el artículo que La referencia es la siguiente (énfasis mío):

  

Después de esta fecha, SSL y Early TLS ya no podrán utilizarse como control de seguridad para PCI DSS, , excepto por los terminales POS POI que se verifican como no susceptibles a explotaciones conocidas y los puntos de terminación a los que se conectan,

Lo que parece bastante inequívoco: usted no puede usar "TLS anterior" a menos que pueda verificar que los terminales y puntos de terminación están a salvo del exploits para los cuales TLS 1.0 ha sido desaprobado. No sé lo suficiente sobre los detalles más finos de POODLE (ni ningún otro vector de ataque conocido) para saber qué constituye hacer terminales / los puntos de terminación "seguros" ... si usted no sabe (y no puede verificar que su solución sea "segura"), entonces la respuesta - siguiendo lo anterior - debe ser " no puedes usar TLS anterior ".

Probablemente también deberías tener en cuenta que más adelante en ese artículo dice (de nuevo, el énfasis es mío):

  

Los comerciantes deben tener en cuenta que las nuevas implementaciones de terminales POS POI no deben utilizar SSL / early TLS. Además, si se introducen nuevas vulnerabilidades que afectan a los terminales de puntos de interés y que no se pueden solucionar mediante un parche o controles de compensación, los terminales de puntos de interés deberán ser actualizados de inmediato .

Entonces (como lo leí) sus oportunidades para " guardar TLS 1.0 para algunos clientes " también están limitadas:

  • No puede usar TLS 1.0 para nuevos clientes, solo puede continuar usándolo para clientes existentes (y solo si la seguridad del sistema ha sido verificada) .

  • Debe dejar de usarlo inmediatamente si se conocen nuevas vulnerabilidades (de las que no puede probar su sistema está a salvo)

En cuanto a " los gigantes del comercio electrónico mundial como Ebay y Amazon aún son compatibles con TLS1.0 para clientes ", solo puedo ofrecer:

  • Ese artículo parece estar centrado en los terminales POS / POI. eBay / Amazon no usa los terminales POS / POI, por lo que a primera vista no están necesariamente sujetos a las mismas restricciones. (Pero las reglas más amplias, o diferentes reglas de PCI, pueden aplicarse a su situación).

  • ¿Qué parte de la conexión probaste para "compatibilidad con TLS 1.0"? Es posible (pero no tengo idea si es el caso) que su sitio web general aún admita TLS 1.0, pero "completar un pago" se realiza a través de una capa más segura.

respondido por el TripeHound 25.07.2018 - 15:46
fuente

Lea otras preguntas en las etiquetas