De acordo com as últimas notícias do setor de SSL, o novo A versão do PCI DSS 3.2 será lançada nesta primavera. Inicialmente, sua data de lançamento programada era no outono.
O PCI Security Standards Council revisou a data de lançamento para incluir o período estendido da migração SSL 3.0/TLS 1.0 devido ao cenário de ameaças em expansão existente.
PCI DSS 3.2
A versão atual do PCI DSS 3.1 foi a primeira a introduzir as diretrizes rigorosas que abordam a migração do SSL 3.0 e do TLS 1.0. De acordo com ele, esses dois protocolos “não devem mais ser usados como controle de segurança após 30 de junho de 2016”. Isso significa que, até a data estabelecida, todos os proprietários de sites que processam dados de titulares de cartões devem desativar essas versões de protocolo para estar em conformidade com os novos requisitos. No entanto, o PCI Security Standards Council alterou essa data em seu “Bulletin on Migrating from SSL and Early TLS” de dezembro de 2015, estendendo o período até 30 de junho de 2018. Essa revisão é o resultado de um amplo feedback do mercado dos membros do PCI DSS. No entanto, o Conselho expressou veementemente que não é recomendável esperar até 2018. O novo prazo será incluído no PCI DSS 3.2, que deverá ser publicado em março ou abril de 2016.
Melhorar a segurança do site
De acordo com o boletim, em novembro de 2015, mais de 67% dos sites pesquisados tinham segurança inadequada. Isso significa que esses sites estão expostos a ataques cibernéticos de alto nível, como “POODLE“, “FREAK“, “BEAST“, “CRIME” ou “Heartbleed“, que exploram os pontos fracos dos protocolos SSL 3.0 e TLS 1.0, lançados na década de noventa. Esses ataques cibernéticos permitem que os hackers realizem “ataques man-in-the-middle“, por meio dos quais eles podem facilmente descriptografar dados confidenciais do titular do cartão ou roubar chaves criptográficas de longa duração. As vulnerabilidades dos protocolos SSL 3.0 e TLS 1.0 não podem ser corrigidas. É por isso que o PCI DSS impõe a migração para a versão mais recente dos protocolos TLS: TLS 1.1 e TLS 1.2, que foram lançados em 2006 e 2008.
Depois que o Google descobriu a vulnerabilidade POODLE, várias medidas de proteção foram tomadas para aumentar a segurança dos sites. Em primeiro lugar, as versões mais recentes dos navegadores mais populares não são mais compatíveis com o SSL 3.0. Em segundo lugar, todos os webmasters foram aconselhados a desativar as opções SSL 3.0 e TLS 1.0 de seus servidores. Quando essas opções forem desativadas, o certificado SSL protegerá a conexão usando apenas as versões mais recentes do protocolo TLS.
Mesmo que os novos requisitos do PCI DSS 3.2 se refiram diretamente apenas aos proprietários de sites que lidam com o titular do cartão, pagamentos, registros pessoais ou administrativos,a recomendação de migrar para o TLS 1.2 deve se referir a todos os webmasters. O número de violações de dados está aumentando constantemente e você não deve arriscar a segurança on-line e a reputação da sua empresa usando protocolos de criptografia desatualizados. Os certificados SSL disponíveis são compatíveis com todos os protocolos, portanto, não hesite em proteger seu site atualizando-o para o TLS 1.2.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
