PCI Data Security Standard (PCI DSS) ha publicado una nueva versión No Programada del estándar por lo que los comercios que deseen cumplir este estándar deberán prepararse para la inminente adaptación a los nuevos protocolos de cifrado de datos vulnerables, así como también a proporcionar detalles exactos sobre cómo planean hacer esa transición.
Esta nueva versión denominada PCI DSS 3.1 es la última versión del estándar de seguridad de referencia puesto en marcha en 2004 por Visa, MasterCard y las otras grandes marcas de tarjetas para salvaguardar la transmisión y almacenamiento de datos de tarjetas de pago.
PCI DSS 3.1: SSL / TLS ha puesto como fecha límite para adaptarse a los nuevos requerimientos el 30 Junio de 2016.
La nueva redacción del Estándar incluye aclaraciones menores y actualizaciones, y está pensado principalmente para hacer frente a las vulnerabilidades de alto riesgo dentro de la capa de sockets seguros (SSL) y los protocolos de encriptación denominados Transport Layer Security (TLS), que puedan poner en riesgo los datos de pago.
Requisitos de la nueva PCI DSS 3.1
Con efecto inmediato, se prohíbe la aplicación de tecnologías basadas en SSL y TLS temprana con fecha límite del 30 de junio de 2016. Es decir, a los comerciantes ya no se les permite usar SSL y TLS temprana de cualquier manera como garantía independiente para proteger los datos de pago.
Esta decisión fue precipitada por la Publicación Especial 800-52 del Instituto Nacional de Estándares y Tecnología (NIST) . En ese documento, el NIST declaró que sólo TLS 1.1 y 1.2 son lo suficientemente seguros para el uso del gobierno, lo que indica que SSL 2.0, SSL 3.0 y TLS 1.0 ya no son aceptables como estándares seguros de encriptación. Sin embargo, muchos comerciantes siguen utilizando la primera versión de TLS y en algunos casos incluso SSL en sus entornos de transacciones de medios de pago.
La SSC ya habia anunciado en febrero de forma solapada que las debilidades en SSL y TLS requerirían una liberación no programada PCI DSS.
Finalmente, aunque era necesario establecer un marco razonable en el tiempo para la adaptacion a los nuevos requisitos, debemos ser conscientes que el tiempo no juega a nuestro favor en este caso ya que estamos hablando hacer frente a un problerma de posible riesgo para los datos de pago con la gravedad que ello supone.
Es por ello, que sobre este tema no podemos engañarnos pensando que cuanto más tiempo que tenemos para realizar estas adaptaciones, es menos urgente realizar estos cambios, ya que podemos poner en juego la seguridad de nuestros clientes y el prestigio de nuestro negocio.