菜单

打电话给我们 03450 21 21 51

PCI DSS.,漏洞扫描和SSL的麻烦
SRM.博客

PCI DSS.,漏洞扫描和SSL的麻烦

SRM.

写道 SRM.

2016年4月11日

分享这篇文章

通过PCI委员会设置要释放PCI DSS的3.2版本,远离弱会话加密协议的迁移主题正在成为一个热门话题。 2015年12月,理事会从2016年6月到2018年6月延长了删除SSL和TLS 1.0的截止日期。

这种变化的潜在缺陷之一是正在运行的ASV(批准的扫描供应商)扫描可以识别高级SSL漏洞,导致失败的ASV扫描...... ..将您留在哪里?

幸运的是,PCI委员会的漂亮人士已经确定了这可能会导致问题并发表了一些指导方针,以协助您在移民的中间发现自己。

为了帮助那些想要在转换期间继续支持SSL和早期TLS的人(2018年6月30日之前),该实体可以向其ASV提供其移民计划和风险缓解措施的副本。然后,ASV可以查看此并输入‘exception’在扫描报告的相应部分中。

2018年6月30日之后,支持SSL和早期TLS仍然可行,但如果它是PCI相关组件的安全控制。如果WebServer支持TLS 1.0,但是更高版本用于支付卡捕获页面,例如,可以使用ASV讨论这一点,并输入异常或误报。

在这两种情况下,与ASV的通信是这里的关键。他们拥有识别漏洞并能够解决它们的专业知识,因此请确保公开讨论这些点。

如果现在支持这些弱密码,那么风险缓解和移民计划是必须的。 PCI评估是必需的,也将有助于扫描,所以与您的QSA谈论如何最好地实现这一目标是有益的,(SRM有一些模板,您可以用来帮助您脱离地面用这项活动)。

PCI委员会已经汇总了一个非常丰富的和有趣的补充剂,只是这个主题,任何有针对这个主题查询的人都应该使用本文件来参考。

//www.pcisecuritystandards.org/documents/Migrating_from_SSL_Early_TLS_Information_Supplement_v1.pdf

作为一个结束思想,支持弱密码的截止日期已延长至2018年6月30日,但这并不意味着您应该在此之前停放这个问题。现在更新到更安全版本的TLS将保护您的业务,并对这种方法提供更大的信心。