PCI DSS v3.1版本正式发布
2015-04-15中国,北京 - 2015年4月15日,经过诸多产业研讨,PCI标准委员会正式发布了PCI DSS v3.1版本以及对应的变更说明和支持文档。在PCI DSS 3.1的版本中,主要有三类变更,分别是澄清说明、附加的指导以及要求更新。其中前两类是为了提高标准一致性的微小变更。
本次更新的重点是,所有版本的SSL以及TLS的早期版本将不再视作强的加密机制,该要求将立即生效。对应PCI DSS要求2.2.3,2.3以及4.1条款,在2016年6月30日后将不再允许SSL以及TLS早期版本的使用。对应的支持文档也会提供必要的实施指导。
变更的概要信息如下:
1、新上线的系统或者应用必须使用安全的实现以替代SSL以及TLS的早期版本。
2、对于正在使用SSL以及TLS早期版本的机构,必须制定有效的风险消除和实施计划。
3、在2016年6月30日前,授权的ASV扫描供应商(如atsec)可接受合规机构的风险消除和实施计划,并基于产业要求作为ASV扫描结果的例外来处理因SSL及TLS早期版本导致的未通过报告。
4、POS或POI设备在确认不受SSL及TLS早期版本影响的前提下,可在2016年6月30日之后继续使用相应的协议。
与此同时,atsec内部也将在最短时间内完成审核文档和工具的更新。如贵机构存在相应的问题,atsec也希望共同探讨并解决。在此也感谢广大合规机构对atsec长期以来的信任与支持,我们将一如既往地为您提供最优质的信息安全咨询与测评服务。
更多信息请参见atsec官方网站,以及PCI标准委会官方网站。