PCI DSS合規標準將於2018年6月30日生效,該標準要求禁用SSL協議和低版本TLS協議,HTTPS配置應實施更安全的加密協議(TLS v1.1或更高版本,強烈建議使用TLS v1.2),以滿足PCI DSS合規標準的要求,從而保護支付數據。
什麼是PCI DSS標準?
PCI DSS,全稱Payment Card Industry Data Security Standard,第三方支付行業數據安全標準,是由PCI安全標準委員會制定,力在使國際上採用一致的數據安全措施。
PCI DSS全稱Payment Card Industry Data Security Standard(支付卡行業數據安全標準),是由PCI安全標準委員會制定,力在使國際上採用一致的數據安全措施,簡稱PCI DSS。
PCI DSS對於所有涉及信用卡信息機構的安全方面作出標準的要求,其中包括安全管理、策略、過程、網絡體系結構、軟件設計的要求的列表等,全面保障交易安全。PCI DSS適用於所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。
哪些是SSL協議和低版本TLS協議?
Netscape在1994年創建了SSL協議的原始規範,SSL協議和TLS協議歷史上已經經歷多次版本更新迭代,SSL 2.0、SSL 3.0等SSL協議以及TLS 1.0等低版本TLS協議,已經被證實存在許多嚴重漏洞,比如POODLE和BEAST攻擊就是利用低版本SSL/TLS協議漏洞實現的。根據NIST的說法,沒有任何修復方案或補丁可以解決低版本SSL/TLS協議的漏洞問題,因此儘快升級到最新的TLS協議版本並禁止任何協議版本回退是至關重要的。
使用低版本SSL/TLS協議的在線和電子商務環境最容易受到低版本協議漏洞的攻擊,PCI DSS設置的合規期限適用於所有可能受低版本協議漏洞攻擊影響的環境(付款終端以及它們連接SSL/TLS終端點除外。)
HTTPS配置如何兼容PCI DSS合規標準?
PCI DSS建議支付卡行業組織機構儘快遷移到更安全的協議:
1)更新TLS協議:使用TLS v1.1或更高版本,強烈建議使用TLS v1.2;
2)修復TLS軟件抵禦漏洞攻擊:實施漏洞攻擊(如OpenSSL中的Heartbleed漏洞)可能帶來嚴重風險。保持TLS軟件保持最新更新狀態,確保及時修復漏洞,防止漏洞攻擊。
3)配置TLS安全:除了配置更高版本的TLS協議外,請確保TLS安全配置,確保支持安全的TLS密碼套件和密鑰大小,並禁用對其他不必要的密碼套件的支持。
查看沃通CA編譯的PCI指南《電子商務最佳安全實踐》獲取詳細指引。
兼容PCI DSS,選用沃通SSL證書
PCI DSS推薦電子商務企業部署OV SSL證書或EV SSL證書,通過更高級別的認證建立在線信任,提升消費者在線交易的信心。沃通SSL證書由全球信任頂級根簽發,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各類瀏覽器、操作系統和移動終端,具備廣泛兼容性,提供OV、EV認證級別的SSL證書,滿足PCI DSS合規標準的要求。此外,沃通CA專注數字證書行業十餘年,多年的行業經驗積累讓沃通具備更專業的服務能力,有效幫助電子商務企業正確配置HTTPS兼容PCI DSS標準。沃通資深團隊提供全流程顧問式服務,7×24小時全天候響應,是您值得信賴的HTTPS產品服務合作伙伴。搜索沃通CA瞭解更多HTTPS加密及SSL證書相關信息。
閱讀更多 沃通WoTrus 的文章
