По сообщению PCI SSC, в ближайшее время планируется выпуск внеочередных версий стандартов PCI DSS и PA-DSS (PCI DSS v3.1 и PA-DSS v3.1).
Планируется единственное существенное изменение – ни одна из версий SSL протокола больше не соответствует понятию «стойкая криптография».
Изменение связано с наличием фундаментальных уязвимостей в SSL протоколе.
Согласно NIST, SP 800-52 SSL v3 не разрешен к использованию в государственных учреждениях США, т.к. использует не стойкие алгоритмы шифрования.
TLS версий 1.1 и 1.2 – разрешены к применению, если они правильно настроены.
TLS версии 1.0 – разрешено использовать только для обеспечения взаимодействия с негосударственными системами, при условии его настройки в соответствии с рекомендациями NIST.
Однако дата вступления требований в силу пока не определена.Версии 3.1 стандартов PCI DSS и PA-DSS вступят в силу с момента их опубликования.
После вступления в силу требований PCI DSS v3.1 организации, участвующие в обработке данных владельцев платежных карт и использующие SSL, в том числе для обеспечения совместимости, перестанут соответствовать требованиям PCI DSS.
Пользователи SSL не пройдут проверку и при ASV-сканировании, которое, в соответствии с требованиями PCI DSS, должно осуществляться каждый квартал.
Организациям, участвующим в обработке данных владельцев платежных карт, рекомендуется незамедлительно приступить к проработке вопроса о переходе на защищённые протоколы.
Рекомендации NIST по использованию TLS приведены в публикации: