SSL perde status de protocolo com criptografia eficaz

System

Devido às recentes falhas de segurança no protocolo de segurança SSL, a mais notável nomeada como POODLE, o PCI Security Standards Council ( Conselho de Padrões de Segurança ), responsável pelo desenvolvimento, gerenciamento, treinamento, e conscientização a respeito dos Padrões de Segurança PCI, que incluem o PCI DSS ( Padrão de segurança de Dados ), o PA-DSS ( Padrão de segurança de Dados em Aplicações de pagamento ), entre outros, resolveu implementar modificações em seus padrões de segurança na transmissão de dados.

A mudança de maior impacto foi declarar esta semana que nenhuma das versões do protocolo SSL atende aos requerimentos de uma criptografia forte, logo depois do NIST ( Instituto Nacional de Padrões e Tecnologia ) ter divulgado que o SSL 3.0 não é mais aceitável para a proteção de dados devido a falhas inerentes ao protocolo.

Depois de trabalhar vários dos últimos meses com diversos interessados, buscando entender o impacto dessas modificações para a indústria como um todo, o Conselho publicará em breve a versão 3.1 dos padrões PCI DSS e PA-DSS visando corrigir esse problema, além de prover outras atualizações menores e explicações.

Quando publicada, a PCI DSS 3.1 será efetivada imediatamente como padrão, porém as companhias terão tempo para adequarem-se e implementar as mudanças que impactem seus negócios. Para a PA-DSS 3.1, o Conselho também estudo como lidar com as futuras submissões e a atual lista de aplicações. Um resumo com as mudanças, assim como uma FAQ, irá acompanhar a versão revisada de cada padrão, para ajudar a esclarecer o impacto dessas mudanças.

Nas palavras da própria organização, “neste ínterim, como não há formas de remediar as vulnerabilidades inerentes ao protocolo SSL, o PCI Security Standards Council recomenda fortemente que as organizações trabalhem com suas equipes de TI e/ou parceiros para compreender se estão usando SSL e determinar as opções disponíveis para atualizarem para um protocolo de criptografia forte o mais rápido possível”. Alguns dos possíveis poderiam ser o TLS, ou o IPSec, dependendo do tipo de tecnologia utilizada por cada companhia.

Para consultar o anúncio original, consulte o artigo disponível no site do PCI Security Standards Council.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s