Chain

Como era de esperarse, el PCI SSC no se ha quedado atrás y ha tomado acciones drásticas frente a los recientes (y no tan recientes) problemas de seguridad asociados al protocolo Secure Socket Layer (SSL).  Como se comentó hace un par de meses en PCI Hispano en el artículo “Evita que las vulnerabilidades de SSL/TLS afecten tu cumplimiento de PCI DSS con estas recomendaciones“, vulnerabilidades como  BEAST, CRIME, BREACH, HEARTBLEED y POODLE han decretado el fin de SSL y la paulatina migración hacia TLS.

El PCI SSC siguiendo las recomendaciones del National Institute of Standards and Technology (NIST) ha optado por declarar el protocolo SSL (en sus versiones 1.0, 2.0 y 3.0) como un protocolo inseguro que no cumple con la definición y los criterios de criptografía fuerte (“Strong cryptography“). Debido a este cambio, los estándares de PCI DSS y PA DSS serán modificados y actualizados en el corto plazo a la versión 3.1, los cuales vendrán acompañados de un documento de preguntas frecuentes (FAQ – Frequently Asked Questions) que complementará las descripciones y los cambios implementados, sobre todo en lo referente al Requisito 4: “Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas” de PCI DSS y al Requisito 11 “Cifrar el tráfico sensible enviado a través de redes públicas” de PA DSS.

Por lo pronto, desde PCI Hispano invitamos a nuestros lectores que se encuentran involucrados en el despliegue o mantenimiento de un entorno PCI DSS a migrar cuanto antes cualquier componente de software que contenga soporte para SSL hacia TLS y a seguir las recomendaciones descritas en los siguientes documentos:

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.