Captura

Tal y como se había anunciado en PCI Hispano meses atrás, los graves problemas de seguridad causados por las vulnerabilidades descubiertas en SSL y TLS han obligado a que el PCI SSC tome cartas en el asunto y publique la versión 3.1 del estándar PCI DSS para establecer los criterios de gestión a ser implementados por comercios y proveedores de servicio.

De acuerdo con ello, hoy miércoles 15 de abril se encuentra disponible para descarga la nueva versión de PCI DSS en el portal del PCI SSC. A continuación se enumeran algunos de los cambios más notables:

  • Todas las versiones de SSL y versiones anteriores de TLS (1.0 y algunas veces la 1.1) dejan de ser consideradas como “criptografía fuerte” (strong cryptography), lo cual impacta directamente a los requerimientos 2.2.3, 2.3 y 4.1 de PCI DSS
  • La fecha máxima hasta la cual SSL y versiones anteriores de TLS dejarán de ser considerados controles de seguridad será el 30 de junio 2016.
  • Cualquier nueva implementación de PCI DSS deberá emplear alternativas seguras a SSL y versiones anteriores de TLS.
  • Las empresas que actualmente cuenten con infraestructura que soporte SSL y versiones anteriores de TLS deberán definir un plan de mitigación de riesgo y de migración.
  • Debido a que el plazo máximo para dejar de usar SSL y versiones anteriores de TLS expira el 30 de junio de 2016, aquellas organizaciones que requieren la ejecución de escaneos ASV podrán gestionar las vulnerabilidades asociadas a estos protocolos como excepciones mediante la presentación tanto del plan de mitigación de riesgo como del plan de migración, conforme con el programa de PCI SSC ASV.
  • Los dispositivos POS (Point of Sale – Terminal de Punto de Venta (TPV)) / POI (Point of interaction – Punto de Interacción, como lectores de banda magnética o chip que le permiten al usuario realizar una compra) que pueden ser verificados como no susceptibles a todos los exploits para SSL y versiones anteriores de TLS, pueden seguir usando estos protocolos como control de seguridad después del 30 de junio de 2016.

Igualmente, se han realizado una serie de aclaraciones (clarifications), guías adicionales y mejoras en los controles aprovechando la publicación de esta nueva versión.

La versión 3.0 de PCI DSS será retirada el 30 de junio de 2015 siendo efectivas las revisiones de la versión 3.1 de forma inmediata.

De igual manera, se han publicado los siguientes documentos como complementos al estándar:

Finalmente, los documentos de soporte de PCI DSS (Self-Assessment Questionnaires (SAQ), Attestations of Compliance (AOC), plantilla de Report on Compliance (ROC), PCI DSS Glossary of Terms, Abbreviations, and Acronyms y las actualizaciones a la base de datos de Frequently Asked Questions (FAQ) serán publicadas en breve al igual que las actualizaciones a PA DSS.

Invitamos a nuestros lectores a tener presentes estos cambios y empezar con las labores de adecuación lo más pronto posible, con el fin de minimizar potenciales riesgos asociados con SSL y versiones anteriores de TLS.