PCI DSS 3.1: отказ от SSL к 30 июня 2016 г.

Организация Payment Card Industry Security Standards Council (PCI SSC), которая занимается разработкой новых версий стандарта PCI DSS, опубликовала минорную версию PCI DSS 3.1. Леонид Плетнев, руководитель направления отдела безопасности банковских систем компании «Информзащита», отмечает: «Говорить, что Совет по стандартам безопасности индустрии платежных карт выпустил новую версию PCI DSS, не совсем верно. Опубликованы лишь уточнения к третьей версии стандарта, поэтому и в номере PCI DSS поменялась только цифра после точки. Наиболее ожидаемым было разъяснение об использовании протокола SSL, считающегося небезопасным из-за уязвимости POODLE. Организации, обязанные соблюдать требования PCI DSS, испытывали проблемы с перенастройкой своих платежных систем на безопасные версии протоколов (в частности, TLS 1.2). Совет пошёл навстречу бизнесу и определил новые правила».

Именно поэтому наиболее ощутимо изменились требования к применению протокола SSL всех версий и TLS 1.0, в которых, собственно, и обнаружена фундаментальная уязвимость, даже получившая собственное название. Наличие POODLE не позволяет PCI SSC рекомендовать данные протоколы как надёжные, и организация рассчитывает вывести их из употребления до 30 июня 2016 г. Новые системы не должны использовать эти протоколы, а для остальных необходимо подготовить план перехода на защищённые версии TLS, например 1.2.

Андрей Гайко, сертифицированный аудитор Digital Security, рекомендует следующее:

• «Разрабатывая или внедряя новые системы, необходимо исключить использование SSL всех версий и TLS версии 1.0.
• После 30 июня 2016 г. все компании будут обязаны отказаться от использования SSL и TLS 1.0.
• Предприятия, использующие уязвимые протоколы, должны составить планы миграции на новые протоколы (при аудите они будут проверяться), разработать и выполнять процедуры мониторинга новостей об уязвимостях в применяемых протоколах.
• Устройства Point of Sale (POS-терминалы) и Point of Interaction (POI), которые можно проверить на невозможность их компрометации в случае использования ими SSL или TLS 1.0, могут и дальше применять эти протоколы после 30 июня 2016 г.».

Кроме того, минорная версия PCI DSS содержит уточнения некоторых терминов и процедур. В частности, появилось требование менять пароли не реже, чем раз в 90 дней. А если пользователь за это время ни разу не прошёл процедуру идентификации, его данные вообще должны быть уничтожены. Изменения коснулись и процедуры тестирования систем защиты на наличие уязвимостей: теперь тесты должны быть не только автоматическими, но и подразумевающими участие человека.

Наконец, расширился спектр данных, подлежащих защите. Если раньше требовалось сохранять лишь идентификационные сведения, то теперь обработчики финансовых данных обязаны сохранять в секрете всю информацию о держателе карты. Предполагается, что вскоре аналогичные изменения будут внесены и в другие документы PCI SSC, например в PA DSS.