auditorías PCI, TLS 1.0 y puntuación

Navega tus respuestas
2

Soy nuevo en seguridad de varias maneras. Tenemos una auditoría PCI próximamente. Hemos elaborado un plan de mitigación de riesgos / migración para TLS 1.0 y lo hemos enviado a los auditores.

Mi jefe se está enfocando ahora en abordar varias fuentes TLS 1.0. Él lo llama una "victoria fácil", para quitar un poco de la fruta que cuelga. Si tenemos un problema mayor, entonces obtener algunas de estas ganancias fáciles reducirá nuestra puntuación en otros lugares.

Pero, presentamos un plan de mitigación / migración. Eso es todo lo que exige el PCI-DSS 3.1, no requiere una remediación inmediata.

Es casi seguro que yo estoy entendiendo mal algo. ¿Qué me estoy perdiendo?

    
pregunta XtinaS 04.11.2015 - 23:00
fuente

2 respuestas

1

TLS 1.0 (y 1.1 en algunas configuraciones) no se consideran seguros y, por lo tanto, compatibles con PCI. Actualmente, PCI permite la creación de un plan de mediación que tendrá todo resuelto antes del 30 de junio de 2016. Esto se debe a que algunos navegadores (IE) no tienen TLS 1.1 de forma predeterminada.

    
respondido por el FordPre 04.11.2015 - 23:47
fuente
0

A lo que se refiere son las notas sobre SSL / TLS sobre varios requisitos, como 2.2.3 en PCI DSS v3.1 :

  

Nota : SSL y TLS anterior no se consideran criptografía fuerte y   no se puede utilizar como control de seguridad después del 30 de junio de 2016. Antes de   En esta fecha, las implementaciones existentes que usan SSL y / o TLS temprano deben   tener un plan formal de mitigación de riesgos y migración en su lugar.

Esto se vincula con el proceso de evaluación de riesgos en 12.2:

  

12.2 Implementar un proceso de evaluación de riesgos que:

     
  • Se realiza al menos una vez al año y ante cambios significativos en el medio ambiente (por ejemplo,   adquisición, fusión, reubicación, etc.),
    •   
  • identifica activos críticos,   amenazas y vulnerabilidades, y
    •   
  • Resultados en un formal, documentado   análisis de riesgo.
    •   

Consulte esta guía para ver lo que significa TLS y SSL. En pocas palabras, desea que todas las comunicaciones SSL / TLS estén en TLS 1.1 y superiores.

No sé a qué se refiere con "bajar su puntaje", sin embargo, su plan de mitigación debe tener algo en su lugar para decir cómo se está deshaciendo de TLS 1.0 y antes de julio de 2016. Después de esta fecha, no debe usar TLS 1.0 y versiones anteriores, por lo tanto, cualquier auditoría que tenga lugar después de esta fecha fallará si lo está. Usted tiene razón, no hay un requisito inmediato para que se desactiven estos protocolos, siempre y cuando el plan esté allí.

Descargo de responsabilidad: no soy un QSA, ni su QSA

    
respondido por el SilverlightFox 06.11.2015 - 13:12
fuente

Lea otras preguntas en las etiquetas

¿Se puede dañar accidentalmente un archivo al descargarlo? ¿Cómo usar HTTPS para servidores cuya IP y nombre de dominio cambian, potencialmente con frecuencia?