Si el anuncio de la versión 3.1 de la norma PCI DSS fue un acto de respuesta ágil a la gran cantidad de vulnerabilidades que convertían SSL y las versiones inferiores de TLS en protocolos vulnerables la realidad ha hecho que el organismo que regula las normas de referencia en seguridad en Medios de Pago en lo que puede ser uno de los pasos atrás más sonados.
El PCI SSC, anunció el pasado 18 de Diciembre un cambio en la fecha en que las organizaciones que procesan los pagos deben migrar sus protocolos de cifrado SSL y TLS 1.0 a TLS 1.1 superior retrasándola de junio 2016 a junio 2018, 2 años. Esto implica que la propia norma 3.1 queda corregida en uno de sus puntos más sensibles y que la nueva versión, que se publicará en octubre de este año, modificará de nuevo la fecha límite para la migración.
Según Stephen Orfei, General Manager del PCI SSC, la corrección que ha realizado el consejo es resultado de la gran cantidad de respuestas negativas que han recibido de empresas de todos los sectores afectados, incluyendo comercios, bancos y procesadores pago:
“Queremos los comercios protegidos contra el robo de datos, pero no a costa de dejar de trabajar, así que hemos cambiado la fecha. El ecosistema global de pagos es complejo, sobre todo cuando se piensa en cuánto más se hacen los negocios hoy en día en los dispositivos móviles de todo el mundo. Si pones requisitos móviles junto con el cifrado, la actualización del navegador SHA -1 y EMV en los EE.UU., hecho que ya implica una gran inversión.".
Cuanto menos, resulta contradictorio que sea la migración tardía a EMV en EE.UU. una de las causas de que la eliminación de protocolos que ya están clínicamente muertos y enterrados se dejen de eliminar. Es lógico que los países y las empresas que ya hicieron ese esfuerzo y que igualmente migraron a versiones no vulnerables de los protocolos TLS puedan tener una sensación de frustración o incluso, engaño.
Esto, sin duda, va a implicar que nos encontraremos en el ecosistema de los medios de pago empresas a dos velocidades, lo peor de todo es que estamos hablando de la seguridad no de algo que sea una cuestión de modas o de estar a la última por cuestiones meramente comerciales. Quizás el efecto pueda traducirse en que, de nuevo, se vea como los incidentes de seguridad se trasladen geográficamente como ha ido sucediendo con el fraude y el efecto que EMV tuvo sobre este... sólo el tiempo lo dirá y quizás no pase mucho tiempo. Seguro que no tendremos que esperar a junio del 2018.
Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors
