Con la próxima llegada del 30 de junio de 2018 como fecha límite para retirar los protocolos SSL y versiones inseguras de TLS de los entornos de cumplimiento PCI DSS, la principal pregunta de las entidades afectadas es: ¿existirá alguna excepción para permitir el uso de dichos protocolos, ya conocidos por ser vulnerables? Y, de ser así, ¿cómo se gestionaran estas excepciones en los informes de cumplimiento (ASV, SAQ, RoC)?

Con base en ello, el PCI SSC ha publicado dos nuevos suplementos informativos (“Information Supplements”) que solucionan dichos interrogantes:

En este artículo se revisarán de forma general los contenidos de estos dos nuevos documentos y se explicarán los pasos a seguir después del 30 de junio de 2018.

Uso de SSL y versiones tempranas de TLS para conexiones con terminales de punto de venta (TPV)

Desde la publicación de PCI DSS 3.1 en el año 2015, todas las versiones de los protocolos SSL (1.0, 2.0 y 3.0) y las versiones tempranas de TLS (1.0 y 1.1) fueron excluídas como ejemplos de criptografía robusta, debido a las vulnerabilidades reportadas que las afectaban. A partir de ese momento se establecieron una serie de acciones para permitir la migración paulatina de dichos protocolos a versiones consideradas seguras (como TLS 1.2 y TLS 1.3). No obstante, la única excepción que se permitió fue exclusivamente en terminales de punto de venta (TPV) ya desplegadas y en los puntos de terminación de sus conexiones, siempre y cuando se verificara que estos protocolos no fueran susceptibles de ser vulnerados empleando exploits conocidos.

Esto es debido a que la arquitectura de conectividad de estas terminales de pago ofrece una menor superficie de ataque para las vulnerabilidades de estos protocolos, frente a conexiones “normales” establecidas desde un ordenador y un browser convencional:

  • La conexión entre un TPV y su punto de terminación no soporta conexiones múltiples de lado de cliente, lo cual minimiza el impacto de vulnerabilidades como POODLE (Padding Oracle On Downgraded Legacy Encryption),
  • El protocolo de pago empleado en el intercambio de datos entre una dispositivo TPV y su punto de terminación está basado en los estándares ISO 20022 (Universal Financial Industry Message Scheme), ISO 8583-1:2003 (Financial Transaction Card Originated Messages – Interchange Message Specifications) y otros, lo cual minimiza la cantidad de datos expuesta a potenciales ataques de replay.
  • Los dispostivos TPV no hacen uso de software de navegación (“browsers”), Javascript o cookies de seguridad vinculadas con manejo de sesiones.

No obstante, si en un futuro surgen nuevas vulnerabilidades que sí afecten a estos dispositivos y a sus canales de comunicación, se deben realizar las actualizaciones pertinentes y migración a protocolos más seguros.

En el caso de que se detecte el uso de estos protocolos durante una auditoría, se debe proceder con la descripción de su uso y su justificación en el Anexo A2 de PCI DSS. Adicionalmente, aquellos proveedores de servicio que ofrezcan puntos de terminación de conexiones de TPV con SSL o versiones de TLS tempranas pueden seguir haciendo uso de los planes de migración y mitigación de riesgo y establecer alternativas seguras de conexión, teniendo presente que dichos controles serán temporales.

Uso de SSL y versiones tempranas de TLS y su impacto en los escaneos ASV

Por otro lado, el uso de los protocolos SSL y versiones tempranas de TLS estará prohibido a partir del 30 de junio del 2018 si se usan como “criptografía robusta” en el cumplimiento de los siguientes controles de PCI DSS:

  • 2.2.3 Implementar funciones de seguridad adicionales para los servicios, protocolos o daemons requeridos que no se consideren seguros.
  • 2.3 Cifre todo el acceso administrativo que no sea de consola utilizando un cifrado sólido.
  • 4.1 Utilizar criptografía sólida y protocolos de seguridad para proteger los datos del titular de la tarjeta confidenciales durante la transmisión por redes públicas abiertas.

Sin embargo, sí que pueden existir en un entorno PCI DSS siempre y cuando no sean usados como controles de seguridad para cumplir con los requisitos del estándar. Si esto llega a suceder, los escaneos trimestrales ASV lo detectarán como una vulnerabilidad y deberán ser gestionados como un “falso positivo” si la entidad afectada provee una justificación razonable de su uso y confirma el uso de controles compensatorios para minimizar el riesgo.

A pesar de estas recomendaciones, el PCI SSC recomienda a todas las entidades que hacen uso de estos protocolos vulnerables a migrar a una versión más segura, al margen de las acciones de cumplimiento con el estándar.