Новая версия стандарта PCI DSS запретит SSL

Дата: 13.02.2015
Автор: Евгений Миронов, ведущий аналитик УЦСБ

По сообщению PCI SSC, в ближайшее время планируется выпуск внеочередных версий стандартов PCI DSS и PA-DSS (PCI DSS v3.1 и PA-DSS v3.1).

Планируется единственное существенное изменение – ни одна из версий SSL протокола  больше не соответствует понятию «стойкая криптография».

Изменение связано с наличием фундаментальных уязвимостей в SSL протоколе. 


Согласно NIST, SP 800-52 SSL v3 не разрешен к использованию в государственных учреждениях США, т.к. использует не стойкие алгоритмы шифрования.

TLS версий 1.1 и 1.2 – разрешены к применению, если они правильно настроены.

TLS версии 1.0  – разрешено использовать только для обеспечения взаимодействия с негосударственными системами, при условии его настройки в соответствии с рекомендациями NIST.


Однако дата вступления требований в силу пока не определена.Версии 3.1 стандартов  PCI DSS и PA-DSS вступят в силу с момента их опубликования.

После вступления в силу требований PCI DSS v3.1 организации, участвующие в обработке данных владельцев платежных карт и использующие SSL, в том числе для обеспечения совместимости, перестанут соответствовать требованиям PCI DSS.

Пользователи SSL не пройдут проверку и при ASV-сканировании, которое, в соответствии с требованиями PCI DSS, должно осуществляться каждый квартал.

Организациям, участвующим в обработке данных владельцев платежных карт, рекомендуется незамедлительно приступить к проработке вопроса о переходе на защищённые протоколы.

Рекомендации NIST по использованию TLS приведены в публикации:

NIST SP 800-52: Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (Revision 1)