Con la aparición de vulnerabilidades consideradas como críticas en el protocolo SSL: Beast, Crime, Heartbleed, Poodle y Freak recientemente, obligaron al PCI SSC a reaccionar, y a publicar una actualización en la versión 3.0 de PA DSS (PA DSS v3.1), obligando a los fabricantes de aplicaciones de pago que quieran certificar sus aplicaciones a no utilizar el protocolo SSL bajo ningún concepto.
Como existe la posibilidad de que un cliente certifique su entorno PCI DSS por la v3.1 utilizando una aplicación PA DSS certificada por la v2.0, el PCI SSC ha publicado una nueva versión de la “Program Guide” para la versión 2.0 de PA DSS.
Con esta nueva versión de la Program Guide v2.2, aquellas empresas que quieran mantener su aplicación certificada por PA DSS bajo la versión 2.0, deberán revisar el desarrollo de su aplicación y eliminar el uso de este protocolo, debiendo garantizar que la aplicación soporta protocolos de cifrado que aún no han sido vulnerados (TLS v1.1 y TLS v1.2) para la transmisión.
En caso de que un cambio calificado como de bajo impacto (low impact change) afecte solo a requerimientos PA DSS de transmisión segura de datos (por ejemplo, requisitos 6, 8.2, 11 y 12), la aplicación de pago debe soportar únicamente protocolos seguros (TLS 1.1 y 1,.2).
Autora: Carmen de Alba - CISM, CISA, PCI QSA, PCI PA-QSA
Departamento de Consultoría.
