Совет по стандартам безопасности данных PCI (PCI Security Standards Council, PCI SSC) опубликовал новую версию стандарта безопасности индустрии платежных карт PCI DSS 3.1. В документе PCI DSS версии 3.1 указаны уязвимости протокола web-шифрования SSL.
Национальный институт стандартов и технологий обозначил протокол SSL как неприемлемый для защиты данных из-за его “врожденных слабостей”. Обновление до актуальной, безопасной версии TLS-протокола, преемника SSL, является единственным известным способом устранения уязвимостей, которые эксплуатировались в ходе таких атак, как POODLE и BEAST.
Для того чтобы обезопасить пользователей от киберугроз, в стандарте PCI DSS 3.1 были обновлены требования 2.2.3, 2.3 и 4.1, а SSL и ранние версии TLS-протокола были исключены из списка примеров надежного шифрования. После 30 июня 2016 г. компании не смогут использовать SSL и ранние версии TLS-протокола в качестве защиты платежных систем. Однако PoS- и POI-терминалы, которые могут быть проверены на отсутствие всех известных уязвимостей SSL и TLS-протоколов, смогут использовать их после 30 июня 2016 г. Технический директор HP Security Voltage Брэндан Риззо (Brendan Rizzo) заявил, что, если компании не начнут составлять план обновления систем безопасности прямо сейчас, любые утечки конфиденциальных данных впоследствии могут нанести репутации компаний огромный ущерб. (Новости/NovostIT)
