PCI DSS v3.1: chiarimenti sull'utilizzo di TLS v1.1

0

PCI DSS v3.1 raccomanda l'uso di TLS v1.1 o successivo: link

… it is therefore strongly recommended that POI environments use TLS v1.1 or greater wherever possible. New implementations of POIs should strongly consider support for and use of TLS 1.2 or greater. If SSL/early TLS is not needed in the environment, use of and fallback to these versions should be disabled

Ogni caso ho bisogno del chiarimento: dovrei usare TLS v1.1 per qualsiasi comunicazione?

È chiaro per me che se ho un server HTTP che viene utilizzato per l'accesso utente devo usare TLS v1.1.

Che dire di una comunicazione interna?

Utilizziamo stunnel per le comunicazioni interne tra i nostri server e usiamo TLS v1.

Dovremmo configurare stunnel per usare TLS v1.1? O possiamo continuare a utilizzare TLS v1?

Cosa succede se alcuni componenti (ad esempio PostgreSQL) non supportano TLS v1.1?

Che cosa dovremmo fare in questo caso?

    
posta Michael 18.09.2015 - 08:47
fonte

1 risposta

2

Michael, la mia lettura di questa guida è che il requisito di passare a TLS 1.1 (preferibilmente 1.2) si applica oltre il contesto POI ai sistemi interni, inclusi (per quanto posso dire da ciò che hai fornito) i collegamenti tra il server di cui parli. Lo dico perché, in primo luogo, degli effettivi requisiti PCI che la guida indica come implicati qui:

Requirement 2.2.3 Implement additional security features for any required services, protocols, or daemons that are considered to be insecure. Requirement 2.3 Encrypt all non-console administrative access using strong cryptography. Requirement 4.1 Use strong cryptography and security protocols to safeguard > sensitive cardholder data during transmission over open, public networks.

Ora, le connessioni crittografate da commerciante a te che coinvolgono POI fanno chiaramente parte di ciò attraverso Req. 4.1. Ma il riferimento alla Regola 2.3 sulla crittografia di tutti gli accessi agli amministratori e alla Regola 2.2.3 con la sua più ampia applicabilità generale a molti sistemi che possiede un'entità coperta da PCI mi porta a credere che le connessioni di elaborazione interne di cui parli siano effettivamente all'interno requisito di aggiornamento.

Ora, come al solito con la roba PCI, una cosa importante da tenere a mente è che spesso c'è molta più flessibilità incorporata nei requisiti rispetto a ciò che potrebbe sembrare il caso a prima vista. Ad esempio, le linee guida collegate indicano che è possibile soddisfare il mandato di "upgrade" se si utilizza la crittografia in un altro layer / tipo che è altrettanto strong (security-guarantee wise) di TLS 1.1. Ad esempio, se si imposta un tunnel IPsec tra due server e si esegue il flusso TLS 1.0 non aggiornabile tramite la guida, si afferma che si è & sarà conforme. Per ulteriori informazioni sulla flessibilità che potresti avere sotto la guida e in base ai Requisiti effettivi in generale, cercherò sicuramente un consulente o un'azienda PCI che abbia una strong esperienza nell'aiutare gateway di pagamento e amp; i processori di pagamento si adeguano alle nuove evoluzioni delle regole PCI che si verificano in seguito ai massicci furti di informazioni finanziarie degli utenti che si sono verificati negli ultimi anni. (E, mentre sono in procinto di ottenere un consiglio diretto e affidabile da un esperto, introdurrò la dichiarazione di non responsabilità che non ho esaminato estesamente nei dettagli del vostro caso, può o non può avere sufficiente esperienza- -da il tuo punto di vista, sono solo un ragazzo su Internet - per farlo, e quindi quello che ho scritto sopra non è un sostituto per la consulenza professionale.)

In altre parole, penso che le tue connessioni di rete interne siano coperte dalla regola di aggiornamento, almeno nella misura in cui trasmettono le credenziali di autenticazione necessarie per fare cose amministrative (ad esempio nomi utente e password, ovviamente) e / oppure trasporta dati e dati sensibili della carta altre informazioni finanziarie su di loro. I miei due centesimi ...

PS: tieni presente non solo la scadenza definitiva per l'aggiornamento (o la realizzazione di protezioni TLS ridondanti) entro giugno 2016, ma anche le misure di segnalazione e attenuazione di cui si discute anche la guida.

    
risposta data 18.09.2015 - 22:45
fonte

Leggi altre domande sui tag