首页>安全资讯>HTTPS配置如何兼容PCI DSS合规标准?

HTTPS配置如何兼容PCI DSS合规标准?

PCI DSS合规标准将于2018年6月30日生效,该标准要求禁用SSL协议和低版本TLS协议,HTTPS配置应实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2),以满足PCI DSS合规标准的要求,从而保护支付数据。

什么是PCI DSS标准?

PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。

PCI DSS全称Payment Card Industry Data Security Standard(支付卡行业数据安全标准),是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。

哪些是SSL协议和低版本TLS协议?

Netscape在1994年创建了SSL协议的原始规范,SSL协议和TLS协议历史上已经经历多次版本更新迭代,SSL 2.0、SSL 3.0等SSL协议以及TLS 1.0等低版本TLS协议,已经被证实存在许多严重漏洞,比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。根据NIST的说法,没有任何修复方案或补丁可以解决低版本SSL/TLS协议的漏洞问题,因此尽快升级到最新的TLS协议版本并禁止任何协议版本回退是至关重要的。

使用低版本SSL/TLS协议的在线和电子商务环境最容易受到低版本协议漏洞的攻击,PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境(付款终端以及它们连接SSL/TLS终端点除外。)

HTTPS配置如何兼容PCI DSS合规标准?

PCI DSS建议支付卡行业组织机构尽快迁移到更安全的协议:

查看沃通CA编译的PCI指南《电子商务最佳安全实践》获取详细指引。

兼容PCI DSS,选用沃通SSL证书

PCI DSS推荐电子商务企业部署OV SSL证书或EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心。沃通SSL证书由全球信任顶级根签发,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端,具备广泛兼容性,提供OV、EV认证级别的SSL证书,满足PCI DSS合规标准的要求。此外,沃通CA专注数字证书行业十余年,多年的行业经验积累让沃通具备更专业的服务能力,有效帮助电子商务企业正确配置HTTPS兼容PCI DSS标准。沃通资深团队提供全流程顾问式服务,7×24小时全天候响应,是您值得信赖的HTTPS产品服务合作伙伴。

 

沃通原创文章,转载请注明来源