Új PCI DSS 3.2 verzió 2016 első felében

2016.02.23. – Miután a PCI Council meghosszabbította az SSL/TLS technológiák használatának végdátumát a 2015 decemberében közreadott hírlevelében, most a PCI Data Security Standard (PCI DSS) új, 3.2-es verziójának megjelenését jelentette be. Az új szabvány tartalmazni fogja a migrációk felülvizsgált határidejét, illetve tükrözi a fizetési kártyák piacán történt változásokat és új fenyegetettségeket.

A PCI Security Standards Council (PCI SSC, a PCI szabványcsalád tulajdonosa) új információkat tett közzé a PCI DSS hamarosan érkező 3.2-es verziójáról. A Council blogjában interjút közöl Troy Leach-csel, a PCI SSC Chief Technology Officer-ével, hogy milyen változások várhatók az új verzió megjelenésével.

Ide kattintva elolvashatja a teljes interjút.

Az előző főverzió publikálása 2013 novemberében történt, amikor a Council megjelentette a PCI DSS 3.0-ás verzióját. A következő verzió közzététele 2016 novemberében lenne esedékes, igazodva a szabvány 3 éves életciklusához. Azonban az azóta eltelt időszakban több jelentős esemény is történt, amely ezt befolyásolta. Egyebek között 2014 őszén kiderült, hogy a széles körben használt SSL protokollok, illetve a TLS protokollcsalád korai verziói komoly sérülékenységeket rejtenek magukban. Ezekre a sérülékenységekre rövid időn belül világszerte több különféle fenyegetés, illetve malware is megjelent. Erre reagálva a PCI Council rövid időn belül megjelentette a PCI DSS 3.1-es verzióját, elsősorban az SSL és TLS protokollok használatának szabályozása érdekében. Ez alapján bizonyos kivételektől eltekintve az SSL és a korai TLS protokollokat használó technikai megoldások nem számítanak biztonságosnak. Új implementáció már nem engedélyezett és a meglévő technológiát le kell váltani a TLS 1.1-es vagy 1.2-es verziójára, legkésőbb 2018. június 30-ig.

A változások tükrében 2016. március-áprilisában a PCI Council a PCI DSS új, javított változatát tervezi kiadni 3.2-es verziószámmal. Ez a változat várhatóan helyettesíti a 2016. novemberében esedékes új főverziót is.

A tervek szerint a Szabvány új verziója rögtön a kiadás után életbe lép, míg a jelenlegi 3.1-es verzió 3 hónappal később érvényét veszti. A köztes időszak lehetőséget ad a cégeknek, hogy a 3.1-es verzió alapján már megkezdett auditok változtatás nélkül befejeződjenek. Az átmeneti időszak végétől már csak az új verzió alapján végezhetők a PCI DSS tanúsítások.

Az új szabványverzió várhatóan nem csak az SSL/TLS protokollokkal kapcsolatos változásokat tartalmazza, követelményeiben várhatóan tükrözi a fizetési kártyák piacán történt változásokat, például a mobil fizetés vagy az EMV-képes (chip-) kártyák térnyerését is.

A PCI DSS változásaival párhuzamosan a PA-DSS (Payment Application Data Security Standard, a fizetési kártyaadatokat kezelő alkalmazásokra vonatkozó szabvány) is új verzióval gazdagodik, mely várhatóan egy hónappal követi a PCI DSS megjelenését.
Kiemelt tudásbázisaink

Ismerje meg a Qualys integrált biztonsági megoldásait!

Tovább »
_________________________________
Tudjon meg többet a PCI DSS megfelelésről!

Tovább »
Minősítéseink
Kiemelt partnereink
Főoldal
Cégünkről
Magunkról
Munkatársaink
Referenciáink
Szolgáltatásaink
PCI DSS
PCI 3DS
PCI PIN
PCI DSS Oktatás
Bankkártya
IT biztonság
Tudásbázis
PCI DSS
PCI 3DS
Qualys megoldások
Letöltehető anyagok
Hasznos linkek
Kapcsolat
Kapcsolat
Adatkezelés
© AperSky Tanácsadó Kft.