logo

Keičiasi svetainių saugos standartai

Gruodžio 4 d., 2017 Autorius: Arnoldas

Nuo 2018 m. birželio 30 d. Payment Card Institution (PCI) keičia duomenų saugos standartų (DSS) reikalavimus. Iki šios datos SSL ir senesnę TLS (angl. Transport Layer Security) versiją naudojančios paslaugos turėtų migruoti į TLS 1.1 arba į dar naujesnę versiją. Rekomenduojama iš karto migruoti į TLS 1.2 versiją.

Kas yra PCI?

PCI – Mokėjimo Kortelių Institucija, įkurta tobulinti ir padėti suprasti saugumo standartus taikomus mokėjimo paslaugų saugumui. Šią instituciją įkūrė American Express, Discover financial Services, JCB International, MasterCard ir Visa. Ir visos šios įmonės taiko minėtus standartus savo bendradarbiavimo reikalavimuose.

Kokia rizika naudojant SSL arba senesnę TLS versiją?

Abu duomenų apsaugos protokolai turi daug rimtų saugumo spragų ir yra gan didelė rizika, kad paslauga naudojanti šiuos protokolus gali būti pažeista. Šiuo metu nėra sprendimo, kaip pašalinti šias spragas, todėl labai svarbu atnaujinti naudojamus protokolus į TLS 1.1/1.2.

Kokia įtaką tai turi paslaugoms?

Šie atnaujinimai yra itin aktualūs e-komercijos svetainėms leidžiančioms atsiskaityti bankinėmis kortelėmis, kadangi pakitę PCI reikalavimai reikš, kad paslaugos neatitinkančios šių reikalavimų negalės teikti klientams galimybės atsiskaityti kortelėmis tiesiogiai, tačiau šie atnaujinimai turėtų būti aktualūs bet kokioms paslaugoms, kurios apdoroja klientų duomenis (slaptažodžius, el. paštus ir pan.), kadangi visi šie duomenys gali būti perimti pasinaudojant šiomis spragomis.

Taip pat naršyklės, kurios turi išjungtą palaikymą arba tiesiog nepalaikančios TLS 1.1 negalės naudotis tam tikromis paslaugomis apie kurias plačiau galima pasiskaityti čia.

Svarbu būtų pastebėti, kad dėl tokių ateinančių naujovių bus neverta palaikyti senesnes naršyklių versijas, kurios neturi TLS 1.1 palaikymo, kadangi šiose naršyklėse lankytojai nebegalės atlikti užsakymo iki galo ir už jį apmokėti iki tol, kol vis tiek bus priversti atsinaujinti naršyklę į naujesnę versiją.

Originalus šaltinis: https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls