爭相更新支付卡系統(tǒng)服務(wù)器的組織

在本月的某個時(shí)候，制定標(biāo)準(zhǔn)的組織必須遵循的使用信用卡和借記卡的團(tuán)體將正式宣布安全套接字層加密死亡。

相反，零售商、服務(wù)提供商和其他方面的Web服務(wù)器、瀏覽器和支付處理系統(tǒng)將不得不調(diào)整或轉(zhuǎn)換，以便使用TLS（傳輸層安全）來安全傳輸卡號，可能在年底之前，或者無法清除安全審計(jì)。

對于IT管理員來說，這可能是一個簡單的改變，如果他們的軟件供應(yīng)商已經(jīng)有了啟用TLS的方法，只需單擊配置選項(xiàng)。

許多組織已經(jīng)打開了TLS，TLS在某些方面類似于SSL，但使用了更強(qiáng)的加密算法，并具有在不同端口上工作的能力。 但一些企業(yè)可能不得不推動供應(yīng)商更新。

到底有多少銷售點(diǎn)系統(tǒng)仍然使用SSL還不清楚。 但負(fù)責(zé)組織安全評估的Trust Wave Holdings Inc.高級安全工程師唐·布魯克斯(Don Brooks)周三接受采訪時(shí)表示，“仍有許多銷售點(diǎn)供應(yīng)商使用舊的SSL協(xié)議將信用卡數(shù)據(jù)傳輸回銀行。

“有一些指標(biāo)表明，全球有多達(dá)75%的網(wǎng)絡(luò)服務(wù)器支持非安全網(wǎng)絡(luò)服務(wù)器。

“如果客戶控制他們自己的Web應(yīng)用程序，他們需要進(jìn)入他們的服務(wù)器并設(shè)置它，這樣它就不再支持任何不合格的加密方法?！狈駝t，那些必須遵循PCI的人將不得不與應(yīng)用程序供應(yīng)商合作。

PCI安全標(biāo)準(zhǔn)委員會發(fā)布一個名為PCI3.1的新標(biāo)準(zhǔn)的行動是在PCI3.0生效后幾個月才開始的，這是一個令人驚訝的短時(shí)間的更新。 布魯克斯稱之為“非凡的變化”。

但這并不意外：這是不可避免的，在美國國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)得出結(jié)論，SSL不能再被認(rèn)為是強(qiáng)大的密碼保護(hù)后，波德爾和野獸的瀏覽器漏洞。 PCI理事會授權(quán)各組織必須使用具有強(qiáng)大密碼的協(xié)議來通過安全審計(jì)。

甚至在此之前，華盛頓表示，對于需要與美國政府進(jìn)行安全通信的組織，SSL已經(jīng)不再被接受。

2月13日，PCI理事會宣布將對其數(shù)據(jù)安全標(biāo)準(zhǔn)進(jìn)行修訂，并警告稱，截至該日，SSL版本不可接受。 這意味著TLSv1.2至少是非正式的新標(biāo)準(zhǔn)。

如果行業(yè)沒有收到信息，上周理事會發(fā)表了一項(xiàng)聲明，明確表示所有PCIDSS和PA-DSSv3.0文件將受到影響，包括：自我評估問卷(SAQ)、合規(guī)認(rèn)證(AOC)、合規(guī)報(bào)告(ROC)、驗(yàn)證認(rèn)證(AOV)和驗(yàn)證報(bào)告(ROV)。

雖然PCI3.1將在發(fā)布之日生效，但各組織將得到一個延遲的截止日期，以使其系統(tǒng)符合要求。

那個日期還沒有確定，但TrustWave的布魯克斯猜測，這將是今年年底。

SSL可以追溯到90年代中期，當(dāng)時(shí)它是由Netscape創(chuàng)建的。 3.0版于1996年發(fā)布，此后一直在使用。 因特網(wǎng)工程工作隊(duì)于1999年首次將TLS定義為升級。