Новый стандарт безопасности PCI DSS запрещает использование SSL-протокола

Совет по стандартам безопасности данных PCI (PCI Security Standards Council, PCI SSC)  опубликовал  новую версию стандарта безопасности индустрии платежных карт PCI DSS 3.1. В документе PCI DSS версии 3.1 указаны уязвимости протокола web-шифрования SSL.

Национальный институт стандартов и технологий обозначил протокол SSL как неприемлемый для защиты данных из-за его «врожденных слабостей». Обновление до актуальной, безопасной версии TLS-протокола, преемника SSL, является единственным известным способом устранения уязвимостей, которые эксплуатировались в ходе таких атак, как POODLE и BEAST.

Для того чтобы обезопасить пользователей от киберугроз, в стандарте PCI DSS 3.1 были обновлены требования 2.2.3, 2.3 и 4.1, а SSL и ранние версии TLS-протокола были исключены из списка примеров надежного шифрования. После 30 июня 2016 года компании не смогут использовать SSL и ранние версии TLS-протокола в качестве защиты платежных систем. Однако PoS- и POI-терминалы, которые могут быть проверены на отсутствие всех известных уязвимостей SSL и TLS-протоколов, смогут использовать их после 30 июня 2016 года.

Технический директор HP Security Voltage Брэндан Риззо (Brendan Rizzo) заявил, что, если компании не начнут составлять план обновления систем безопасности прямо сейчас, любые утечки конфиденциальных данных впоследствии могут нанести репутации компаний огромный ущерб.