how-big-is-risk-ssl-tls

De acuerdo con la nota de prensa publicada el 18 de diciembre de 2015, el PCI SSC ha analizado los diferentes comentarios de comercios y proveedores de servicio respecto a las fechas estipuladas inicialmente en el estándar PCI DSS v3.1 para la migración total de sistemas con SSL a versiones seguras de TLS (junio 2016) y ha optado por ampliar el plazo hasta junio de 2018.

Captura

Como resultado de esta revisión, se han tomado 4 decisiones importantes que modifican lo estipulado en abril de 2015:

  1. Todos los procesadores y terceros – incluyendo adquirientes, procesadores, pasarelas de pago y proveedores de servicio deben ofrecer un servicio que incluya TLS 1.1 o superior en junio de 2016.
  2. De acuerdo con lo establecido en PCI DSS v3.1, todas las nuevas implementaciones (aquellas en las cuales no existe dependencia en el uso de protocolos vulnerables) deben estar basadas en TLS 1.1 o superior. TLS 1.2 es el protocolo recomendado.
  3. Todas las entidades deben usar únicamente versiones seguras de TLS (conforme con lo definido por el NIST) con fecha máxima 30 de junio de 2018.
  4. El uso de SSL y versiones previas de TLS en terminales POI (Point of Interaction) y sus puntos de terminación que puedan verificar que no son susceptibles a exploits conocidos de SSL y versiones previas de TLS y sin riesgo demostrado, pueden seguir siendo usadas más allá de junio de 2018 como una excepción, conforme con lo descrito en PCI DSS v3.1.

Por su parte, el estándar PCI DSS será actualizado en 2016, así como los suplementos informativos (Information supplements) y guias adicionales (additional guidance).

En PCI Hispano se puede encontrar información adicional en los siguientes artículos:

Adicionalmente, el PCI SSC ha publicado en su sitio web el documento “Bulletin on Migrating from SSL and Early TLS” (PDF/HTML) en donde se ofrece mayor detalle de este cambio.

Impacto del cambio de fechas de cumplimiento en los escaneos ASV

Para los escaneos ASV (req. 11.2.2), en el caso que sea identificada una vulnerabilidad de SSL o versiones previas de TLS con puntaje CVSS superior a 4.0 o superior, se debe proceder de la siguiente manera:

  • Antes de junio de 2018 se debe proveer a la empresa ASV el “Plan de Mitigación de Riesgos y Migración” que será relacionado en el apartado “Exceptions, False Positives, or Compensating Controls” del informe trimestral.
  • Después de junio de 2018, si la entidad continúa usando SSL y versiones previas de TLS deberá documentar que sus sistemas han sido verificados como no susceptibles a la vulnerabilidad y gestionar el riesgo empleando controles compensatorios.

Para entornos POS POI en los que se ha verificado que las terminales no son susceptibles a las vulnerabilidades de SSL, el proveedor ASV puede cambiar los valores del puntaje CVSS de la vulnerabilidad y proveer la justificación de dicho cambio.

Si tienes dudas en este proceso de migración, puedes ponerte en contacto con nosotros a través del foro o de las redes sociales.