PCI DSS v3.2 — SSLおよび初期TLS1.1の実装を禁止

ニュースソース:Qualys Blog

以下は 2017年4月18日に公開されたPCI DSS v3.2 & Migrating from SSL and Early TLS v1.1を要約したものです。

注:PCI DSSは、PCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)のことで、 クレジットカード情報および取り引き情報を保護するために2004年12月、American Express・Discover・JCB・MasterCard・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

PCI DSS v3.2.(PCIデータセキュリティスタンダード)のセキュリティ基準によって、脆弱性のあったSSLおよび初期のTLSは2017年5月1日時点で実装が禁止となります。
実装中のSSL&TLSに関しては、リスク軽減と移行の計画書を提出することによって2018年6月30日までPCIの移行を延期する事が可能です。
PCI DSS v3.2には、SSLおよび初期のTLSが使用されている場合、リスク軽減と計画の詳細、移行の日程を明示するように記されています。

  • 新しい実装での利用禁止
  • 実装中のものに関しても2018年6月30日以降は禁止
  • 2018年6月30日よりも前にリスク軽減と移行の計画書を作成しなければならない

以下のように記した、SSLおよび初期のTLSから安全なバージョンへの移行に関する情報も公開されました。
「2018年6月30日までに、リスク軽減と移行の計画が完了し、期日までに移行が完了するように動いていることが確認出来るASV(認定スキャンベンダー)による書類を提出しなくてはいけません。」