Leszámol az SSL-lel a PCI DSS

A PCI DSS 3.1 kiadása már nem tolerálja az SSL protokoll használatát, és azt a nem biztonságos elemek közé sorolja. Mindez sok céget fog védelmi lépésekre kényszeríteni.
 

Az SSL protokoll, illetve annak implementációja kapcsán az elmúlt évben sok probléma merült fel. Ezért nem csoda, hogy a különféle biztonsági szabványok, előírások kidolgozói is drasztikus lépésekre szánták el magukat. Elsőként a PCI Security Standards Council jelezte, hogy leszámol az SSL-lel, amelyet a jövőben már nem tekint erős biztonsági protokollnak. Helyette a fejlettebb TLS használatát fogja megkövetelni.
 
"Az SSL számos hosztolt szolgáltatás, alkalmazás, POS-rendszer, weboldal és terheléselosztó esetében használatos, amelyek mind konfigurációs módosításokat igényelhetnek" - hívta fel a figyelmet a változásokkal járó teendőkre Don Brooks, a Trustwave biztonsági mérnöke. Majd hozzátette, hogy a PCI DSS megfelelőségre kötelezett pénzintézeteknek, cégeknek, kereskedőknek érdemes felvenniük a kapcsolatot az informatikai partnereikkel, hogy időben felkészülhessenek a PCI DSS 3.1-ben megfogalmazott új elvárásokra.
 
A PCI Security Standards Council a változtatások szükségességét azzal magyarázta, hogy az NIST (National Institute of Standards and Technology) az SSL v3.0-at az abban rejlő gyengeségek miatt nem fogadja el adatvédelmi célokra. Ennek következtében ki kellett jelenteni, hogy az SSL már nem teljesíti az erős kriptográfia feltételeit. A TLS 1.2 az, amely jelenleg megfelel a PCI DSS által definiált erős kriptográfia fogalmának.
 
Azt a PCI Security Standards Council is elismerte, hogy az ismert SSL-sérülékenységek a bankkártyák elfogadására alkalmas POS-terminálok esetében nehezen kihasználhatók, így e környezetekben alacsonyabb prioritású problémának számítanak, mint például a webszerverek vagy a webböngészők esetében. Emellett hangsúlyozta, hogy az elektronikus kereskedelmi cégeknek is mihamarabb implementálniuk kell az új elvárásoknak megfelelő védelmi intézkedéseket.
 
  1. 3

    A Cisco IOS XE-hez több patch vált elérhetővé.

  2. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  3. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  4. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  5. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  6. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  7. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  8. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  9. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  10. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség