PCI Security Standard Council libera atualização do padrão PCI DSS e divulga novo prazo para fim do SSL, TLS 1.0

cartao_face

O PCI Security Standard Council – fórum global responsável pela disseminação dos padrões de segurança na proteção de dados de pagamento – anunciou a atualização do PCI DSS; esta é a versão 3.2 do padrão que especifica as recomendações minimas de segurança obrigatórias para todas as empresas que participam da rede de captura de pagamento com cartões de crédito e débito.

Um dos destaques é o prazo dado às organizações para migrar do protocolo SSL e das primeiras versões do TLS para protocolos mais recentes e seguros. Originalmente o prazo previsto para a migração era o meio do ano de 2016; o prazo foi revisto para junho de 2018 em um documento de dezembro de 2015. Agora as empresas terão até julho de 2018 para adotar o protocolo TLS em sua versão 1.1 ou superior.

Entre as novidades, a versão 3.2 torna mandatória a autenticação multifator para administradores. Autenticações de múltiplos fatores já eram obrigatórias em acessos remotos ao ambiente de dados do titular do cartão; agora mesmo administradores com acesso local ao ambiente precisarão de mais de uma senha para acessá-lo. O prazo para implementar essa regra expira em 01 de fevereiro de 2018.

Além disso, foram implementados novos requerimentos para prestadores de serviços como a inclusão de mecanismos de detecção capazes de identificar falhas críticas em controles de segurança, a realização de testes de intrusão a cada semestre e checagem de conformidade de colaboradores com as regras de segurança a cada três meses.

Para mais informações, acesse o blog do PCI Security Standards Council.