PCI Data Security Standard (PCI DSS) ha publicado una nueva versión No Programada del estándar por lo que los comercios que deseen cumplir este estándar deberán prepararse para la inminente adaptación a los nuevos protocolos de cifrado de datos vulnerables, así como también a proporcionar detalles exactos sobre cómo planean hacer esa transición.
Esta nueva versión denominada PCI DSS 3.1 es la última versión del estándar de seguridad de referencia puesto en marcha en 2004 por Visa, MasterCard y las otras grandes marcas de tarjetas para salvaguardar la transmisión y almacenamiento de datos de tarjetas de pago.
PCI DSS 3.1: SSL / TLS ha puesto como fecha límite para adaptarse a los nuevos requerimientos el 30 Junio de 2016.
La nueva redacción del Estándar incluye aclaraciones menores y actualizaciones, y está pensado principalmente para hacer frente a las vulnerabilidades de alto riesgo dentro de la capa de sockets seguros (SSL) y los protocolos de encriptación denominados Transport Layer Security (TLS), que puedan poner en riesgo los datos de pago.
Requisitos Fundamentales de la nueva PCI DSS 3.1
Con efecto inmediato, se prohíbe la aplicación de tecnologías basadas en SSL y TLS temprana con fecha límite del 30 de junio de 2016. Es decir, a los comerciantes ya no se les permite usar SSL y TLS temprana de cualquier manera como garantía independiente para proteger los datos de pago.
Esta decisión fue precipitada por la publicación especial 800-52 del Instituto Nacional de Estándares y Tecnología (NIST) . En ese documento, el NIST declaró que sólo TLS 1.1 y 1.2 son lo suficientemente seguros para el uso del gobierno, lo que indica que SSL 2.0, SSL 3.0 y TLS 1.0 ya no son aceptables como estándares seguros de encriptación. Sin embargo, muchos comerciantes siguen utilizando la primera versión de TLS y en algunos casos incluso SSL en sus entornos de transacciones de medios de pago.
La SSC ya habia anunciado en febrero de forma solapada que las debilidades en SSL y TLS requerirían una liberación no programada PCI DSS.
Finalmente, aunque era necesario establecer un marco razonable en el tiempo para la adaptacion a los nuevos requisitos, debemos ser conscientes que el tiempo no juega a nuestro favor en este caso ya que estamos hablando hacer frente a un problerma de posible riesgo para los datos de pago con la gravedad que ello supone.
Es por ello, que sobre este tema no podemos engañarnos pensando que cuanto más tiempo que tenemos para realizar estas adaptaciones, es menos urgente realizar estos cambios, ya que podemos poner en juego la seguridad de nuestros clientes y el prestigio de nuestro negocio.
INGERTEC proporciona servicios de soporte y formación en materia de PCI DSS, tanto al personal que implanta y gestiona el despliegue del plan de acción de seguridad en materia de medios de pago, asi como para garantizar que toda la actividad que se desarrolle este supervisada por personal especializado (QSA o PCIP) asegurando de cara a una futura auditoría, que las acciones tomadas se ejecutan correctamente.
INGERTEC expertos en Seguridad de Medios de Pago
¿Por qué elegir a INGERTEC?
En INGERTEC está siempre al día en los distintos sistemas de gestión y contamos con el 100% de empresas certificadas, todas las empresas que han pasado la auditoría de certificación con INGERTEC se han certificado..
Nos adaptamos al cliente , a su necesidad, a su tiempo para conseguir el éxito de la certificación de manera rápida y eficaz.
Compruébelo, llámenos al 900 897 931 o escríbanos a info@ingertec.es
