アカウント名:
パスワード:
認定スキャンベンダー(ASV)の一つであるNTTデータ先端技術が日本語解説を出してますね。既存システムにはまだ余裕があるようですが、新規システムが既にダメというのはちょっと急?
PCI DSS v3.1の公開と変更点の概要http://www.intellilink.co.jp/article/pcidss/16.html [intellilink.co.jp]> ・SSLおよび初期のTLSは、2016年6月30日以降、クレジットカードを保護するセキュリティ対策として使用することはできない。> ・2016年6月30日までは、SSLおよびTLSの初期のバージョンを実装したシステムを持つ組織は、リスク低減計画および移行計画を作成することで、適合と認められる。(ASVに提出することで、ASVスキャンレポートも例外として認められる。)> リスク低減計画は、別途PCI SSCから公開されている「Information Supplement: Migration from SSL and Early TLS」に沿ったものであることが推奨される。> ・新しく実装する場合は、SSLのすべてのバージョン、およびTLSの初期のバージョンを使用してはならない。> ・SSLおよび初期のTLSに対する既知のすべての脆弱性に対する攻撃の影響を受けないことが確認できるPOS、POIデバイスは、2016年6月30日以降もセキュリティコントロールとして、これらのプロトコルを使用することができる。
そういえば少し前、日本の某ウェブシステムにいきなりつながらなくなったPC(Windows7)があって。で、インターネットオプションを調べてみたら、TLS1.2の使用がオンになってなかった。名前解決で失敗したかのようなエラーメッセージが出るので、ちょっと注意が必要かも。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
日本語解説 (スコア:3, 参考になる)
認定スキャンベンダー(ASV)の一つであるNTTデータ先端技術が日本語解説を出してますね。
既存システムにはまだ余裕があるようですが、新規システムが既にダメというのはちょっと急?
PCI DSS v3.1の公開と変更点の概要
http://www.intellilink.co.jp/article/pcidss/16.html [intellilink.co.jp]
> ・SSLおよび初期のTLSは、2016年6月30日以降、クレジットカードを保護するセキュリティ対策として使用することはできない。
> ・2016年6月30日までは、SSLおよびTLSの初期のバージョンを実装したシステムを持つ組織は、リスク低減計画および移行計画を作成することで、適合と認められる。(ASVに提出することで、ASVスキャンレポートも例外として認められる。)
> リスク低減計画は、別途PCI SSCから公開されている「Information Supplement: Migration from SSL and Early TLS」に沿ったものであることが推奨される。
> ・新しく実装する場合は、SSLのすべてのバージョン、およびTLSの初期のバージョンを使用してはならない。
> ・SSLおよび初期のTLSに対する既知のすべての脆弱性に対する攻撃の影響を受けないことが確認できるPOS、POIデバイスは、2016年6月30日以降もセキュリティコントロールとして、これらのプロトコルを使用することができる。
Re: (スコア:0)
そういえば少し前、日本の某ウェブシステムにいきなりつながらなくなったPC(Windows7)があって。
で、インターネットオプションを調べてみたら、TLS1.2の使用がオンになってなかった。
名前解決で失敗したかのようなエラーメッセージが出るので、ちょっと注意が必要かも。