PCI DSS 3.2: Debe dejar de utilizar SSL 3.0 y TLS 1.0

Según las últimas noticias del sector SSL, el nuevo  La versión 3.2 de PCI DSS  se publicará esta primavera. Inicialmente, tenía prevista su fecha de lanzamiento en otoño.

El PCI Security Standards Council revisó la fecha de publicación para incluir el periodo ampliado de la migración SSL 3.0/TLS 1.0 debido a la expansión actual del panorama de amenazas.

PCI DSS 3.2

La versión actual de PCI DSS 3. 1 fue la primera en introducir las estrictas directrices que abordan la migración desde SSL 3.0 y TLS 1.0. Según ella, estos dos protocolos “ya no deben utilizarse como control de seguridad después del 30 de junio de 2016”. Esto significa que, hasta la fecha establecida, todos los propietarios de sitios web que procesen datos de titulares de tarjetas deberán desactivar estas versiones del protocolo para cumplir los nuevos requisitos. Pero, el PCI Security Standards Council cambió esta fecha en su “Bulletin on Migrating from SSL and Early TLS” de diciembre de 2015, ampliando el plazo hasta el 30 de junio de 2018. Esta revisión es el resultado de una amplia retroalimentación del mercado por parte de los miembros del PCI DSS. Sin embargo, el Consejo ha expresado enérgicamente que no es recomendable esperar hasta 2018. El nuevo plazo se incluirá en la norma PCI DSS 3.2, cuya publicación está prevista para marzo o abril de 2016.

Mejorar la seguridad del sitio web

Según el boletín, en noviembre de 2015, más del 67% de los sitios web encuestados tenían una seguridad inadecuada. Esto significa que estos sitios web están expuestos a ciberataques de gran repercusión como “POODLE“, “FREAK“, “BEAST“, “CRIME” o “Heartbleed“, que aprovechan las debilidades de los protocolos SSL 3.0 y TLS 1.0, lanzados en los años noventa. Estos ciberataques permiten a los piratas informáticos realizar “ataques de intermediario“, a través de los cuales pueden descifrar fácilmente datos sensibles de los titulares de tarjetas, o robar claves criptográficas de larga duración. Las vulnerabilidades de los protocolos SSL 3.0 y TLS 1.0 no tienen solución. Por ello, la norma PCI DSS impone la migración a la última versión de los protocolos TLS: TLS 1.1 y TLS 1.2, que se publicaron en 2006 y 2008.

Después de que Google descubriera la vulnerabilidad POODLE, se han tomado varias medidas de protección para aumentar la seguridad de los sitios web. En primer lugar, las versiones más recientes de los navegadores más populares ya no son compatibles con SSL 3.0. En segundo lugar, se ha aconsejado a todos los webmasters que desactiven las opciones SSL 3.0 y TLS 1.0 de su servidor. Una vez desactivadas estas opciones, el certificado SSL protegerá la conexión utilizando únicamente las versiones más recientes del protocolo TLS.

Aunque los nuevos requisitos de la norma PCI DSS 3.2 se dirigen directamente sólo a los propietarios de sitios web que tratan con el titular de la tarjeta, pagos, registros personales o administrativos,la recomendación de migrar a TLS 1.2 se referirá a todos los administradores de sitios web. El número de filtraciones de datos aumenta constantemente y no debe arriesgar la seguridad en línea y la reputación de su empresa utilizando protocolos de cifrado obsoletos. Los certificados SSL disponibles admiten todos los protocolos, así que no dude en proteger su sitio web actualizándolo a TLS 1.2.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.