Új PCI DSS 3.2 verzió 2016 első felében

2016.02.23. – Miután a PCI Council meghosszabbította az SSL/TLS technológiák használatának végdátumát a 2015 decemberében közreadott hírlevelében, most a PCI Data Security Standard (PCI DSS) új, 3.2-es verziójának megjelenését jelentette be. Az új szabvány tartalmazni fogja a migrációk felülvizsgált határidejét, illetve tükrözi a fizetési kártyák piacán történt változásokat és új fenyegetettségeket.

A PCI Security Standards Council (PCI SSC, a PCI szabványcsalád tulajdonosa) új információkat tett közzé a PCI DSS hamarosan érkező 3.2-es verziójáról. A Council blogjában interjút közöl Troy Leach-csel, a PCI SSC Chief Technology Officer-ével, hogy milyen változások várhatók az új verzió megjelenésével.

Ide kattintva elolvashatja a teljes interjút.

Az előző főverzió publikálása 2013 novemberében történt, amikor a Council megjelentette a PCI DSS 3.0-ás verzióját. A következő verzió közzététele 2016 novemberében lenne esedékes, igazodva a szabvány 3 éves életciklusához. Azonban az azóta eltelt időszakban több jelentős esemény is történt, amely ezt befolyásolta. Egyebek között 2014 őszén kiderült, hogy a széles körben használt SSL protokollok, illetve a TLS protokollcsalád korai verziói komoly sérülékenységeket rejtenek magukban. Ezekre a sérülékenységekre rövid időn belül világszerte több különféle fenyegetés, illetve malware is megjelent. Erre reagálva a PCI Council rövid időn belül megjelentette a PCI DSS 3.1-es verzióját, elsősorban az SSL és TLS protokollok használatának szabályozása érdekében. Ez alapján bizonyos kivételektől eltekintve az SSL és a korai TLS protokollokat használó technikai megoldások nem számítanak biztonságosnak. Új implementáció már nem engedélyezett és a meglévő technológiát le kell váltani a TLS 1.1-es vagy 1.2-es verziójára, legkésőbb 2018. június 30-ig.

A változások tükrében 2016. március-áprilisában a PCI Council a PCI DSS új, javított változatát tervezi kiadni 3.2-es verziószámmal. Ez a változat várhatóan helyettesíti a 2016. novemberében esedékes új főverziót is.

A tervek szerint a Szabvány új verziója rögtön a kiadás után életbe lép, míg a jelenlegi 3.1-es verzió 3 hónappal később érvényét veszti. A köztes időszak lehetőséget ad a cégeknek, hogy a 3.1-es verzió alapján már megkezdett auditok változtatás nélkül befejeződjenek. Az átmeneti időszak végétől már csak az új verzió alapján végezhetők a PCI DSS tanúsítások.

Az új szabványverzió várhatóan nem csak az SSL/TLS protokollokkal kapcsolatos változásokat tartalmazza, követelményeiben várhatóan tükrözi a fizetési kártyák piacán történt változásokat, például a mobil fizetés vagy az EMV-képes (chip-) kártyák térnyerését is.

A PCI DSS változásaival párhuzamosan a PA-DSS (Payment Application Data Security Standard, a fizetési kártyaadatokat kezelő alkalmazásokra vonatkozó szabvány) is új verzióval gazdagodik, mely várhatóan egy hónappal követi a PCI DSS megjelenését.


Kiemelt tudásbázisaink


Ismerje meg a Qualys integrált biztonsági megoldásait!

Tovább »
_________________________________
Tudjon meg többet a PCI DSS megfelelésről!

Tovább »
Minősítéseink
Kiemelt partnereink



© AperSky Tanácsadó Kft.