Newsletter 3/2015

Am 1.Juni 2015 hat das PCI Security Standard Council die Version 3.1 des PA-DSS veröffentlicht.

Eine Neuerung bzw. wesentliche Anpassung stellt in dieser neuen Version des PA-Standards das Verbot der Nutzung von SSL Version 3 und „frühen“ Versionen von TLS in Payment Applikationen dar.
Die Requirements 8.2, 11.1, 12.1, und 12.2 wurde dahingehend angepasst, dass SSL und frühe TLS-Versionen aus der Liste der sicheren Protokolle entfernt wurden. Diese Protokolle werden nicht mehr als „starke Kryptographie“ anerkannt. Die Frage, was unter „frühen TLS“-Versionen zu verstehen ist, beantwortet der Standardgeber in einem gleichzeitig veröffentlichen Information Supplement mit dem Titel „Migrating from SSL and Early TLS“. Hier wird, allerdings auch nur implizit über einen Verweis auf das NIST-Dokument SP800-52 rev1., erläutert, dass TLS Versionen 1.1 und 1.2 für den laufenden Betrieb geeignet sind.
Mit sofortiger Wirkung dürfen somit keine neuen SSL v3/TLS v1.0-Implementierungen mehr ausgerollt werden.

Validierungen gegen die bisherige PA-DSS Version 3.0 werden nur noch bis zum 31. August 2015 vom PCI SSC akzeptiert. Für Anwendungen die bereits gegen PA-DSS Version 3.0 validiert wurden, wird ab dem 1. Dezember 2015 im jährlichen Re-Validierungsprozess eine zusätzliche Prüfung vorgesehen. Hierzu muss der Software Hersteller bestätigen, nur kryptographische Protokolle einzusetzen die der Definition von starker Kryptographie (siehe oben) entsprechen. Sollte eine Hersteller dies nicht bestätigen können, wird die Anwendung auf die Liste „Acceptable only for Pre-Existing Deployments“ verschoben.

Zum 1. Juli 2015 werden einige Anforderungen verpflichtende Prüfpunkte, die bisher als best practice gehandhabt werden konnten. Diese Punkte sind im Rahmen eines Audits oder der Selbstdeklaration nun zu validieren.

Requirements:
– 6.5.10 protection of applications against new defined vulnerabilities
– 8.5.1 Service Provider with remote access to customer premises must use unique credentials for each
– 9.9 mit Unterpunkten: requirements about POI handling
– 11.3 mit Unterpunkten: penetration tests must be performed against v3.1 requirements
– 12.9 written acknowledgement of a service provider to customers about security of cardholder data

Die Kartenorganisationen haben zusammen mit dem PCI Council eine erweiterte Definition für Service Provider in Form einer „Designated Entity“ eingeführt. Für diese Gruppe wurden erweiterte Validierungsanforderungen in einem Supplemental definiert, welche im Rahmen des PCI DSS Reviews vom QSA mit überprüft werden sollen.

Hierzu hat das PCI Security Standard Council am 5. Juni 2015 ein Supplemental für eine vertiefende Validierung von Designated Entities veröffentlicht. Die Festlegung ob ein Service Provider als „Designated Entity“ definiert wird, erfolgt laut dem Supplemental durch den Acquirer und/oder die Kartenorganisation. Mögliche Kriterien für die Auswahl sind eine hohes Transaktionsvolumen, hohes Potential für eine Kompromittierung, sowie Aggregierungsstellen für Kartendaten.