27 мая 2015, 14:57
Количество просмотров 207

Внеплановая версия PCI DSS 3.1: как жить без SSL и устаревших версий TLS

<p> Новая версия стандарта PCI DSS 3.1 вводит запрет на небезопасные протоколы с середины 2016 года: SSL, а также ранние версии TLS (1.0 и некоторые...
Внеплановая версия PCI DSS 3.1: как жить без SSL и устаревших версий TLS

Новая версия стандарта PCI DSS 3.1 вводит запрет на небезопасные протоколы с середины 2016 года: SSL, а также ранние версии TLS (1.0 и некоторые реализации 1.1)

Петр Шаповалов, инженер по защите информации компании Deiteriy

Оновых реалиях, которые несет отрасли версия 3.1 стандарта PCI DSS, рассказывает Петр Шаповалов, инженер по защите информации компании Deiteriy – поставщика услуг информационной безопасности, обладающего статусами PCI QSA и PCI PA-QSA.

В середине апреля 2015 года Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал новую версию стандарта PCI DSS – 3.1. Релиз новой версии оказался внеплановым, в обход привычного трехлетнего жизненного цикла стандарта. Что означает для отрасли его появление, и чем оно обусловлено?

Внеплановая версия PCI DSS 3.1: как жить без SSL и устаревших версий TLS - рис.1

Основной причиной принятия Советом PCI SSC такого решения послужило признание небезопасными протоколов SSL и ранних версий TLS (1.0 и некоторые реализации 1.1) Национальным институтом стандартов и технологии (NIST). PCI SSC счел, что обнаруженные уязвимости в случае использования данных протоколов в информационных системах могут привести к нарушению конфиденциальности передаваемых данных. Новая версия стандарта вводит ограничения на использование таких протоколов.

Должно быть, у многих участников отрасли в связи с нововведениями возник вполне логичный вопрос: «Что же теперь делать?» Ведь доля на мировом рынке браузеров, платежных приложений и другого программного обеспечения, которое Петр Шаповалов, инженер по защите информации компании Deiteriy Новая версия стандарта PCI DSS 3.1 вводит запрет на небезопасные протоколы с середины 2016 года: SSL, а также ранние версии TLS (1.0 и некоторые реализации 1.1) поддерживает только протоколы SSL и TLS версии 1.0, очень велика и составляет порядка 40–50%.

Учитывая актуальность темы, журнал «ПЛАС» счел необходимым узнать мнения других экспертов в области ИБ относительно сложившейся ситуации.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube