news-pci-3.1_live.png

PCI 3.1 – Update ist jetzt live.

PCI Council reagiert auf Schwachstellen im SSL-Protokoll.

Seit gestern ist die neue Version 3.1 des PCI DSS nun auf den Seiten des PCI Security Standards Council (PCI SSC) veröffentlicht.

Wie angekündigt ist das Update eine Reaktion auf die Ende 2014 bekannt gewordenen Schwachstellen, die die Integrität des SSL-Protokolls sowie von TLS beeinflussen. Die Änderungen in PCI DSS 3.1 betreffen alle Anforderungen, die auf SSL als ein Beispiel für sogenannte starke Kryptografie referenzieren.

Das Upgrade des SSL-Protokolls auf eine aktuelle und sichere Version von TLS (mindestens TLS 1.1, besser jedoch TLS 1.2) dem Nachfolger-Protokoll zu SSL, ist laut PCI SSC die einzige effektive Methode, um die SSL-Schwachstellen zu beseitigen.

Von den Änderungen sind wie vermutet die Anforderungen 2.2.3 (Verschlüsselung von VPNs, NetBIOS, File Sharing, Telnet, FTP und ähnliche Services), 2.3 (Verschlüsselung für webbasiertes Management und andere administrative Nicht-Konsolen-Zugriffe) und 4.1 (Verschlüsselung von Kreditkartendaten bei der Übertragung in offenen und öffentlichen Netzwerken) betroffen. Letzteres betrifft insbesondere den Online Handel, da E-Commerce Shops Zahlungsdaten SSL-/TLS-verschlüsselt per „https“ übertragen.

Laut Council können SSL und frühere Versionen des TLS (insbesondere TLS 1.0) nicht mehr als „strong cryptography“ also als starke Verschlüsselung bewertet werden und dürfen ab dem 30. Juni 2016 nicht mehr als Sicherheitsmaßnahme eingesetzt werden. Bestehende Implementierungen, die SSL und/oder TLS 1.0 verwenden, müssen zudem einer formalen Risikoüberprüfung unterzogen werden. Weiterhin ist ein Migrationsplan vorzulegen, der die Migration auf TLS 1.1 oder TLS 1.2 vor dem 30. Juni 2016 nachweisen kann.

Bei Neuimplementierungen hat der Einsatz von starker Verschlüsselung mittels TLS 1.1 oder höher sofortige Gültigkeit.
Bezahlterminals (POS POI Terminals), die nachweislich nicht durch die bisher bekannten Schwachstellen manipulierbar sind, können die Protokolle (SSL 3.0 und/oder TLS 1.0) auch nach dem 30. Juni 2016 verwenden.

Genaue Angaben sind der aktuellen Veröffentlichung des PCI DSS 3.1 des PCI Security Standards Council sowie dem begleitenden Dokument „Migrating from SSL and Early TLS“ zu entnehmen.

Sollten Sie Fragen haben, sprechen Sie uns gerne an.

Related Posts