Magicnet Web Agency Bologna
Via Don Francesco Pasti 22 Funo Argelato BO 40050 IT
Mo,Tu,We,Th,Fr 09:00-17:30 €€€ +39 051 664 71 98
MagicNet FB Twitter Google+ Linkedin
Dismissione del protocollo SSL/TLS 1.0

Ad Aprile 2015 il PCI Council ha pubblicato un aggiornamento (versione 3.1) dello standard PCI (Payment Card Industry) di sicurezza dei dati e ha stabilito una data limite (30 Giugno 2016 diventato poi 30 Giugno 2018) entro la quale abbandonare il protocollo SSL/TLS 1.0 che non rappresenta più un metodo sicuro per proteggere i dati sensibili.



TLS (Transport Layer Security), successore di SSL (Secure Sockets Layer), è un protocollo crittografico che garantisce un canale di comunicazione sicuro tra un server e un client.
Esso serve per validare uno o entrambi i sistemi e tutelare l’affidabilità e la privacy delle informazioni trasmesse.

Il protocollo SSL/TLS 1.0 non soddisfa più i requisiti minimi di sicurezza a causa di vulnerabilità per le quali non esistono correzioni (es. è possibile decifrare un messaggio protetto ed estrarre dati sensibili). Inoltre, per la sua diffusione, è stato oggetto di molte violazioni della privacy che mettono a rischio le transazioni online di denaro e qualsiasi scambio di dati sensibili.

Molti browser hanno iniziato a proibire il protocollo TLS 1.0, impedendo di accedere ai server web che non hanno eseguito la migrazione ad un’alternativa più sicura.

Per rimanere conformi allo standard PCI DSS (Payment Card Industry Data Security Standard), è necessario disabilitare interamente SSL ed effettuare l’aggiornamento almeno al TLS 1.1, anche se sono fortemente consigliate le versioni successive. Fanno eccezione i terminali POI POS verificati come esenti da eventuali vulnerabilità note per il protocollo SSL/TLS 1.0.

Prima della scadenza del 30 giugno 2018, le implementazioni esistenti che utilizzano il protocollo obsoleto devono adottare un piano formale di migrazione e riduzione dei rischi. Invece, quelle nuove devono direttamente optare per un protocollo successivo a SSL/TLS 1.0.

I provider di servizi devono assicurare un protocollo TLS sicuro, altrimenti le comunicazioni ritenute a rischio non verranno visualizzate ed eseguite correttamente.

Tutte le tipologie di entità sono interessate da problemi con SSL/TLS 1.0, tuttavia, a causa della loro natura, gli e-commerce presentano il rischio più alto. In attesa del passaggio ad un protocollo sicuro, è opportuno ridurre il numero di server sensibili in modo da limitare l’esposizione alle vulnerabilità e agevolare i controlli per ridurre i rischi.

E’ necessario che i proprietari di e-commerce comunichino tempestivamente ai propri clienti l’importanza di aggiornare i browser Web in modo che supportino protocolli sicuri. Infatti, se il titolare di una carta utilizza un browser obsoleto, la pagina di pagamento non viene visualizzata, con una conseguente perdita di transazioni.

Consapevoli dell’importanza della protezione dei dati e nell’ottica di una comunicazione trasparente, noi di Magic ci impegniamo a fornire una crittografia più sicura dismettendo la versione 1.0 del protocollo TLS a favore di versioni successive.

Per saperne di più consulta il supplemento informativo del PCI Council oppure contattaci!
Contattaci
4 Giugno 2018