Im April 2015 hat das PCI Security Standards Council ein Sunset Date für die Nutzung von SSL v3 und TLS v1.0 veröffentlicht, welches auch Eingang in den PCI DSS v3.1 Standard fand. Mitte Dezember 2015 hat das PCI Security Standards Council diese Deadline auf den 30. Juni 2018 verschoben. Unserer Meinung nach führt diese Verschiebung zu Sicherheitsrisiken, insbesondere durch die etwas konfuse Kommunikation des PCI Council. Aus diesem Grund wollen wir Ihnen nachfolgend weitere Details liefern und freuen uns natürlich über alle Migrationspläne für SSL v3 und TLS v1.0 die eine Umstellung vor oder bis zum neuen Termin 30. Juni 2018 beinhalten. Wir empfehlen selbstverständlich eine schnellstmögliche Umstellung weg von den unsicheren Protokollen SSL und TLS v1.0.

Informationen vom PCI Council zur SSL und TLS Deadline

Announcement PCI Council

In der Mitteilung vom 18. Dezember 2015 publizierte das PCI Council die Verschiebung der Deadline für die Abschaltung von SSL v3 und TLS v1.0 auf den 30. Juni 2018
zum Announcement

Bulletin PCI Council

Das Bulletin erläutert die Gründe für die Verschiebung. Es beinhaltet ebenfalls ein Frage & Antwort-Kapitel, welches unter anderem erläutert was zu tun ist, welche Aktivitäten zur Minimierung des Risikos unternommen werden können, wie mit dem ASV hinsichtlich der „exceptions“ zu kommunizieren ist, sowie viele weitere Fragen.
zum Bulletin

Supplemental PCI Council

Das Supplemental enthält Definitionen zu den Begriffen “new and existing implementations”, erläutert die Grundlagen für eine „risk mitigation“ und den zugehörigen „risk mitigation plan“, und ebenfalls ein Frage & Antwort-Kapitel.
zum Supplemental

Kurzübersicht zum Update

  • Sunset Date für SSL v3 und TLS v1.0 ist jetzt der 30. Juni, 2018
  • POI Devices können SSL v3/TLS v1.0 auch nach dem 30. Juni 2018 einsetzen, wenn nachgewiesen werden kann, dass diese nicht anfällig gegenüber allen bekannten Exploits für SSL und TLS sind
  • Eine neue Version des PCI DSS Standards wird im Laufe des ersten Quartals 2016 veröffentlicht, um diese Änderungen zu berücksichtigen

Es wurde angekündigt das die Revision die folgenden Aussagen enthalten wird (hier in der englischen Originalausführung des PCI Council):

  1. All processing and third party entities – including Acquirers, Processors, Gateways and Service Providers must provide a TLS 1.1 or greater service offering by June 2016.
  2. Consistent with the existing language in PCI DSS v3.1, all new implementations must be enabled with TLS 1.1 or greater. TLS 1.2 is recommended. (New implementations are when there is no existing dependency on the use of the vulnerable protocols – see PCI SSC Information Supplement: Migrating from SSL and Early TLS.)
  3. All entities must cutover to use only a secure version of TLS (as defined by NIST) effective June 30, 2018 (with the following exception).
  4. The use of SSL/early TLS within a Point of Interaction (POI) terminal and its termination point that can be verified as not being susceptible to all known exploits for SSL and early TLS, with no demonstrative risk, can be used beyond June 2018 consistent with the existing language in PCI DSS v3.1 for such an exception.

Webinar des PCI Councils

exterer Link zum Webinar des PCI Councils

Topics in dieser Zusammenfassung:

  • Understanding the vulnerabilities and risk
  • Migrating to TLS 1.1 and higher
  • Addressing impact to POS and POI environments
  • Changes affecting ASV scans
  • How mitigation can work to ensure compliance

Pressestimmen

Auch wollen wir auf Artikel und Statements in den Medien hinweisen, die weitere nützliche Informationen für Sie enthalten.

[show-logos orderby='none' category='0' activeurl='new_nofollow' style='boxhighlight' interface='hcarousel' tooltip='false' description='false' limit='0' filter='false' carousel='ticker,4000,true,false,40000,10,true,false,true,1,0,1' /]

Weitere Fragen? Bitte sprechen Sie uns an!