SSL: To PCI Security Standards Council (PCI SSC) εξέδωσε την τελευταία έκδοση του PCI Data Security Standard (PCI DSS) με στόχο την αντιμετώπιση προβλημάτων ασφαλείας που σχετίζονται με το πρωτόκολλο Secure Sockets Layer (SSL).
Η έκδοση 3.1 του PCI DSS είναι διαθέσιμη εδώ. Η ενημερωμένη έκδοση σηματοδοτεί την τελευταία κριτική ασφάλειας SSL, η οποία έχει δεχθεί μια σειρά από χτυπήματα λόγω τρωτών σημείων στην ασφάλεια όπως π.χ. τα FREAK και τα POODLE. Σύμφωνα με τους αναθεωρημένους κανόνες, το Secure Sockets Layer και οι πρώτες εκδόσεις του πρωτόκολλου Transport Layer Security (TLS), δεν θεωρούνται πλέον παραδείγματα «ισχυρής κρυπτογράφησης». Ως πρώτα TLS ορίζονται οι εξής εκδόσεις: το TLS v.1.0 καθώς επίσης και η έκδοση 1.1 σε κάποιες περιπτώσεις.
Η κίνηση αυτή του συμβουλίου βαδίζει σύμφωνα με το National Institute of Standards and Technology (NIST), που ορίζει το SSL v3.0 ως μη αποδεκτό για την προστασία δεδομένων εξαιτίας «εγγενών αδυναμιών» του. Ως εκ τούτου, το Συμβούλιο αποφάσισε να προβεί στην ενημέρωση του πρωτοκόλλου.
Σύμφωνα με τους νέους κανόνες, οι εταιρείες πρέπει μέχρι τις 30 Ιουνίου του 2016 να προβούν σε ενημέρωση περνώντας σε μια πιο πρόσφατη έκδοση του TLS. Πριν απ’ αυτή την ημερομηνία, οι υπάρχουσες εφαρμογές που χρησιμοποιούν τα αρχικά TLS ή SSL θα πρέπει επισήμως να μετριάσουν τον κίνδυνο με migration plan. Με άμεση ισχύ, όλες οι νέες εφαρμογές δεν θα πρέπει να χρησιμοποιούν τα αρχικά TLS ή Secure Sockets Layer.
Τα POS και POI terminals όπως magnetic card readers ή chip card readers, που επιτρέπουν στον καταναλωτή να προβεί σε αγορά που θα μπορεί έπειτα να επαληθευτεί πως δεν είναι ευάλωτο σε όλα τα γνωστά exploits για Secure Socket Layer και Transport Layer Security, μπορούν να συνεχίσουν να χρησιμοποιούνται ως έλεγχος ασφάλειας και μετά την ενδεδειγμένη ημερομηνία.
