PCI DSS 3.1 Nuevos Requisitos de Seguridad para Medios de Pago

5 may , 2015 by

PCI Data Security Standard (PCI DSS) ha publicado una nueva versión No Programada del estándar por lo que los comercios que deseen cumplir este estándar deberán prepararse para la inminente adaptación a los nuevos protocolos de cifrado de datos vulnerables, así como también a proporcionar detalles exactos sobre cómo planean hacer esa transición.
PCI DSS 3.1 Nuevos Requisitos de Seguridad para Medios de Pago

Esta nueva versión denominada PCI DSS 3.1 es la última versión del estándar de seguridad de referencia puesto en marcha en 2004 por Visa, MasterCard y las otras grandes marcas de tarjetas para salvaguardar la transmisión y almacenamiento de datos de tarjetas de pago.

PCI DSS 3.1: SSL / TLS ha puesto como fecha límite para adaptarse a los nuevos requerimientos el 30 Junio de 2016.

La nueva redacción del Estándar incluye aclaraciones menores y actualizaciones, y está pensado principalmente para hacer frente a las vulnerabilidades de alto riesgo dentro de la capa de sockets seguros (SSL) y los protocolos de encriptación denominados Transport Layer Security (TLS), que puedan poner en riesgo los datos de pago.

Requisitos de la nueva PCI DSS 3.1

Con efecto inmediato, se prohíbe la aplicación de tecnologías basadas en SSL y TLS temprana con fecha límite del 30 de junio de 2016. Es decir, a los comerciantes ya no se les permite usar SSL y TLS temprana de cualquier manera como garantía independiente para proteger los datos de pago.

Esta decisión fue precipitada por la Publicación Especial 800-52 del Instituto Nacional de Estándares y Tecnología (NIST) . En ese documento, el NIST declaró que sólo TLS 1.1 y 1.2 son lo suficientemente seguros para el uso del gobierno, lo que indica que SSL 2.0, SSL 3.0 y TLS 1.0 ya no son aceptables como estándares seguros de encriptación. Sin embargo, muchos comerciantes siguen utilizando la primera versión de TLS y en algunos casos incluso SSL en sus entornos de transacciones de medios de pago.

La SSC ya habia anunciado en febrero de forma solapada que las debilidades en SSL y TLS requerirían una liberación no programada PCI DSS.

Finalmente, aunque era necesario establecer un marco razonable en el tiempo para la adaptacion a los nuevos requisitos, debemos ser conscientes que el tiempo no juega a nuestro favor en este caso ya que estamos hablando hacer frente a un problerma de posible riesgo para los datos de pago con la gravedad que ello supone.

Es por ello, que sobre este tema no podemos engañarnos pensando que cuanto más tiempo que tenemos para realizar estas adaptaciones, es menos urgente realizar estos cambios, ya que podemos poner en juego la seguridad de nuestros clientes y el prestigio de nuestro negocio.

 

Compartir!

ENLACES DE INTERÉS
  • INGERTEC Asesoría en Normas ISO y Sistemas de Gestión
  • ISO 50001 Web sobre Eficiencia Energética
  • Ingerform Formación en Normas ISO y Sistemas de Gestión
  • Normas de Seguridad Alimentaria
  • Marcado CE: Todo lo que necesita sobre el Marcado CE
  • ISO 22716 Fabricación de Cosméticos
  • Inger Farma: Normativas Sector Químico y Farmacéutico
  • ISO 22301 Continuidad del Negocio
  • Presupuesto ON LINE Normas ISO

Articulos Relacionados

Etiquetas

Dejenos su Comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *


Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Browse General

Total de Articulos Publicados: 177

 Suscribirse

Reciba en su email las publicaciones de:
Normas-iso.com

Suscribase Aqui: