Audit PCI, TLS 1.0 e punteggio

2

Sono nuovo alla sicurezza in molti modi. A breve avremo un controllo PCI. Abbiamo predisposto un piano di mitigazione / migrazione del rischio per TLS 1.0 e lo abbiamo presentato agli auditor.

Al momento il mio capo si sta concentrando sull'indirizzamento di varie sorgenti TLS 1.0. La chiama una "facile vittoria", per allontanare un po 'del frutto a bassa quota. Se abbiamo problemi più grandi, ottenere alcune di queste facili vincite diminuirà il nostro punteggio altrove.

Tuttavia, abbiamo presentato un piano di mitigazione / migrazione. Ecco tutte le chiamate PCI-DSS 3.1, non richiede una riparazione immediata.

È quasi certamente me che frainteso qualcosa. Cosa mi manca?

    
posta XtinaS 04.11.2015 - 23:00
fonte

2 risposte

1

TLS 1.0 (e 1.1 in alcune configurazioni) non sono considerati sicuri e quindi conformi allo standard PCI. Attualmente PCI consente la creazione di un piano di mediazione che risolverà tutto entro il 30 giugno 2016. Ciò è dovuto al fatto che alcuni browser (IE) non hanno TLS 1.1 attivo per impostazione predefinita.

    
risposta data 04.11.2015 - 23:47
fonte
0

Di cosa stai parlando sono le note relative a SSL / TLS su diversi requisiti, come 2.2.3 in PCI DSS v3.1 :

Note: SSL and early TLS are not considered strong cryptography and cannot be used as a security control after June 30, 2016. Prior to this date, existing implementations that use SSL and/or early TLS must have a formal Risk Mitigation and Migration Plan in place.

Questo si collega al processo di valutazione del rischio in 12.2:

12.2 Implement a risk-assessment process that:

  • Is performed at least annually and upon significant changes to the environment (for example, acquisition, merger, relocation, etc.),
  • Identifies critical assets, threats, and vulnerabilities, and
  • Results in a formal, documented analysis of risk.

Vedi questa guida per cosa significa TLS e SSL iniziali. In breve, tutte le comunicazioni SSL / TLS devono essere su TLS 1.1 e versioni successive.

Non so a cosa ti riferisci con "abbassando il tuo punteggio", tuttavia il tuo piano di mitigazione deve avere qualcosa in atto per dire come ti stai liberando di TLS 1.0 e precedenti prima di luglio 2016. Dopo questa data tu non deve utilizzare TLS 1.0 e versioni precedenti, pertanto eventuali audit eseguiti dopo questa data non funzioneranno se lo si è. Hai ragione, non è necessario che questi protocolli siano disabilitati, basta che il piano sia lì.

Disclaimer: non sono un QSA, né il tuo QSA

    
risposta data 06.11.2015 - 13:12
fonte

Leggi altre domande sui tag