Tags:
Node Thumbnail

มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016

ระหว่างนี้ผู้ที่ยังคงใช้ SSL และ TLS รุ่นแรกๆ จะต้องทำแผนลดผลกระทบจากช่องโหว่ของกระบวนการเข้ารหัสเหล่านี้ มีข้อยกเว้นคือ จุดรับจ่ายเงิน (Point of Sale - POS) จะสามารถใช้งานการเข้ารหัสเหล่านี้ได้ต่อไป หากสามารถยืนยันได้ว่าไม่เสี่ยงต่อการโจมตีช่องโหว่ที่เป็นที่รู้กัน

หน่วยงานที่รับมาตรฐาน PCI-DSS คงมีไม่มากนัก แต่แนวทางการอัพเดตก็เป็นแนวทางที่ควรทำตามเท่าที่ทำได้ครับ

ที่มา - PCI Council (PDF)

Get latest news from Blognone

Comments

By: icez
ContributoriPhoneAndroidRed Hat
on 18 April 2015 - 01:15 #807250

online banking ธนาคารไทยส่วนใหญ่ยังใช้ TLS สูงสุดได้แค่ version 1.0 อยู่เลย T_T