PCI-DSS Standartlarında yapılan güncellemeler hakkında bir takım soru işaretlerini gidermek adına bu hatırlatmayı yayınlama gereği duyduk. Aşağıdaki bilgilerin bazıları ve/veya hiçbiri sizin ortamınızı etkileyecek durumları kapsamayabilir.
- PCI-DSS v3.2 ardından ek olarak PCI-DSS v3.2.1 duyuruldu. Bununla birlikte yeni gereklilikler gelmedi, ancak tarihlerde düzenlemeler gerçekleşti. PCI-DSS v3.2 31 Aralık 2018’e kadar geçerli olup 1 Ocak 2019 itibariyle terk edilecek.
- PCI-DSS v3.2.1 ile gelen güncellemeler PA-DSS’i etkilemeyecek. PA-DSS v3.2’de kalacaktır.
- PCI-HSM v1.x Nisan 2019 tarihinde sonlanacak. Bu sebeple Nisan 2018’den sonra PCI denetimine girenlerin PCI-HSM v2.x uyumlu cihaz kullanmaları doğru olacaktır. Bu açıdan, PCI-HSM v1.x ve v2.x arasındaki farkları (örn. Key uzunlukları, TR-31 kullanımı…) gözeterek algoritmanızı değerlendirmeniz faydalı olacaktır.
- PCI-HSM tarihlerini PTS Device Testing and Approval Program Guide’ın (https://www.pcisecuritystandards.org/documents/PTS_Program_Guide_v1-8.pdf) Appendix A.12’sinden inceleyebilirsiniz.
- PCI-DSS v3.1’de SSL/early TLS kullanan mekanizmaların 30 Haziran 2016’da sistemden çıkartılması gerektiği belirtildi. Buna karşılık sektörün buna hazır olmadığı bilgisinin paylaşılmasından sonra söz konusu tarih 30 Haziran 2016’dan 30 Haziran 2018 tarihine ertelendi. Kısacası 30 Haziran 2018 tarihinden itibaren kriptolama algoritmalarınızda SSL/early TLS kullanılmaması gerekiyor.
- SSL/early TLS’ten doğabilecek açıklar ve saldırılar (örn. POODLE, BEAST) çoğunlukla tarayıcı kullanımında tehlike oluşturduğundan, POS POI cihazları bu tip saldırılara karşı zaafiyet içermedikleri ispatlandıkları sürece SSL/early TLS kullanımına devam edebilirler. Ancak zayıf cipher kullanımı (örn. RC4, MD5) bu cihazlar için de söz konusu değil.
- SSL/early TLS ifadesinin bazı müşterilerimizde net olmadığını fark ettik. Güvenli sayılan TLS versiyonları TLS v1.1 ve üstü. Ancak tavsiye edilen TLS v1.2 ve üstü.
- Özellikle SSL/early TLS konusunda PCI SSC’nin ilgili makalesi okunabilir: https://www.pcisecuritystandards.org/documents/Migrating-from-SSL-Early-TLS-Info-Supp-v1_1.pdf