Newsletter 2/2015
Mit diesem Newsletter möchten wir Ihnen die aktuellen Veröffentlichungen des PCI Councils kurz vorstellen.
– PCI DSS neue Version 3.1 des Standards
– neues Supplemental mit Informationen zu den Anforderungen an Penetrationtests
– neues Supplemental zu Tokenization-Lösungen
PCI DSS v3.1 veröffentlicht
Der PCI DSS Standard Version 3.1 ist ab sofort verfügbar und gültig. Neben Klarstellungen enthält die neue Version des Standards im Wesentlichen das Verbot der Nutzung von SSL v3 und TLS v1.0. Bestehende Implementationen haben eine Übergangsfrist bis zum 30. Juni 2016. Damit trägt diese überarbeitete Version des Standards insbesondere den in den vergangenen Monaten identifizierten Schwachstellen in den Protokollen SSL und TLS Rechnung. Bei den Anpassungen und Klarstellungen handelt es sich größtenteils um die Präzisierung einer Reihe von Anforderungen, wie etwa einer separaten Test-Prozedur, sofern gehashte und verkürzte Versionen der PAN in derselben Umgebung vorhanden sind.
Die Requirements 2.2.3, 2.3, 4.1 und 4.1.1 wurde dahingehend angepasst, dass SSL und frühe TLS-Versionen aus der Liste der sicheren Protokolle entfernt wurden. Diese Protokolle werden nicht mehr als „starke Kryptographie“ anerkannt. POS POI Devices für die nachgewiesen werden kann, dass sie für die bekannten Schwachstellen der Protokolle nicht anfällig sind, dürfen auch nach dem 30. Juni 2016 weiter mit SSL v3/TLS v1.0 verwendet werden. Grundsätzlich ist jedoch eine Migration auf eine aktuelle Version von TLS sehr zu empfehlen. Im Falle von E-Commerce-Systemen gelten die Web-Browser der Kunden NICHT als bestehende Infrastruktur. Es muss also auf die Nutzung von SSL v3/TLS v1.0 aus Kompatibilitätsgründen verzichtet werden. Parallel zu PCI DSS 3.1 und den zugehörigen Dokumenten erhielten alle ASVs eine Mitteilung, dass SSL v3/TLS v1.0 bis zum 30. Juni 2016 zulässig sind, sofern die gescannte Organisation einen Plan zur Risiko-Minimierung und zur Migration vorlegt.
Supplemental für Penetrationtest veröffentlicht
Mitte April 2015 veröffentlichte das PCI Council das neue Supplemental zur Durchführung von internen und externen Penetrationstests entsprechend dem Requirement 11.3 des PCI DSS-Standards. Das Supplemental enthält nun konkret anwendbare Anforderungen für einen PCI DSS-konformen Penetrationstest.
Supplemental Tokenization veröffentlicht
Ebenfalls im März veröffentlichte das PCI Council ein neues Supplemental mit Informationen zu Tokenisation-Lösungen.