Im April 2015 hat das PCI Security Standards Council ein Sunset Date für die Nutzung von SSL v3 und TLS v1.0 veröffentlicht, welches auch Eingang in den PCI DSS v3.1 Standard fand. Mitte Dezember 2015 hat das PCI Security Standards Council diese Deadline auf den 30. Juni 2018 verschoben. Unserer Meinung nach führt diese Verschiebung zu Sicherheitsrisiken, insbesondere durch die etwas konfuse Kommunikation des PCI Council. Aus diesem Grund wollen wir Ihnen nachfolgend weitere Details liefern und freuen uns natürlich über alle Migrationspläne für SSL v3 und TLS v1.0 die eine Umstellung vor oder bis zum neuen Termin 30. Juni 2018 beinhalten. Wir empfehlen selbstverständlich eine schnellstmögliche Umstellung weg von den unsicheren Protokollen SSL und TLS v1.0.
Informationen vom PCI Council zur SSL und TLS Deadline
Kurzübersicht zum Update
- Sunset Date für SSL v3 und TLS v1.0 ist jetzt der 30. Juni, 2018
- POI Devices können SSL v3/TLS v1.0 auch nach dem 30. Juni 2018 einsetzen, wenn nachgewiesen werden kann, dass diese nicht anfällig gegenüber allen bekannten Exploits für SSL und TLS sind
- Eine neue Version des PCI DSS Standards wird im Laufe des ersten Quartals 2016 veröffentlicht, um diese Änderungen zu berücksichtigen
Es wurde angekündigt das die Revision die folgenden Aussagen enthalten wird (hier in der englischen Originalausführung des PCI Council):
- All processing and third party entities – including Acquirers, Processors, Gateways and Service Providers must provide a TLS 1.1 or greater service offering by June 2016.
- Consistent with the existing language in PCI DSS v3.1, all new implementations must be enabled with TLS 1.1 or greater. TLS 1.2 is recommended. (New implementations are when there is no existing dependency on the use of the vulnerable protocols – see PCI SSC Information Supplement: Migrating from SSL and Early TLS.)
- All entities must cutover to use only a secure version of TLS (as defined by NIST) effective June 30, 2018 (with the following exception).
- The use of SSL/early TLS within a Point of Interaction (POI) terminal and its termination point that can be verified as not being susceptible to all known exploits for SSL and early TLS, with no demonstrative risk, can be used beyond June 2018 consistent with the existing language in PCI DSS v3.1 for such an exception.
Webinar des PCI Councils
Topics in dieser Zusammenfassung:
- Understanding the vulnerabilities and risk
- Migrating to TLS 1.1 and higher
- Addressing impact to POS and POI environments
- Changes affecting ASV scans
- How mitigation can work to ensure compliance
Pressestimmen
Auch wollen wir auf Artikel und Statements in den Medien hinweisen, die weitere nützliche Informationen für Sie enthalten.