В конце июня транзакции цифровых кредитных карт получают обязательное обновление шифрования. Это хорошая новость, но не в том случае, если у вас старое устройство или вы зависите от продавца, который еще не завершил переход.
Когда данные перемещаются с одного устройства на другое, они нуждаются в защите, чтобы их не перехватывать и не манипулировать в процессе работы. Эта защита особенно важна, как вы можете себе представить, для чувствительных коммуникаций, таких как финансовые транзакции. А с ростом мошенничества с кредитными картами Совет по стандартам безопасности индустрии платежных карт объявил в прошлом году, что он выведет из эксплуатации старую, с ошибками схему шифрования, используемую для обработки транзакций с цифровыми кредитными картами, под названием Transport Layer Security 1.0, в пользу более безопасных вариантов. Срок подачи заявок: 30 июня.
«Проблемы - это фундаментальные проблемы разработки протокола, а не то, что можно легко исправить».
Кенн Уайт, Открытый проект Крипто Аудит
Хотя есть исключения для продавцов, которые используют свои собственные серверы обработки платежей, организациям, которые используют PCI-совместимые коммерческие платформы - почти все - необходимо обновить протоколы шифрования на своих веб-сайтах и платежных терминалах, если они этого еще не сделали. Запускать эти обновления должно быть довольно легко для небольшого бизнеса, у которого есть несколько считывателей кредитных карт и веб-сайт, но продавцы должны знать, чтобы сделать это в первую очередь. Крупные компании с тысячами платежных терминалов и массовым присутствием в сети сталкиваются с более серьезной проблемой обновления. Со сроком в несколько недель, некоторые все еще борются. В худшем случае транзакции по кредитным картам просто прекратятся.
«Это обновление имеет большое значение в мире платформ электронной коммерции, потому что каждый продавец использует уникальные интеграции и должен быть в курсе, чтобы транзакции не проваливались», - говорит Джек Крави, вице-президент по операциям в поставщике программного обеспечения AmeriCommerce., который работал с клиентами, чтобы подготовиться к переходу. «Многие из этих платформ, которые еще не обновлены, должны скоро выйти на новый уровень, иначе они окажутся в горячей воде».
В дополнение к потенциальным проблемам со стороны продавца, старое программное обеспечение и устройства могут не поддерживать улучшенные протоколы шифрования, а это означает, что транзакции могут также не выполняться на стороне пользователя. Независимо от стремления обеспечить безопасность транзакций по кредитным картам, за последние несколько лет многие сайты перешли на более безопасное шифрование; Если ваше устройство такое старое, вы, вероятно, уже заметили это. И даже если вы работаете с устаревшей или плохо разветвленной версией Android или затхлой iOS, вы можете обойти эту проблему, если на вашем устройстве может работать довольно актуальный браузер, поддерживающий TLS 1.1 и 1.2.
Если вы обеспокоены тем, что ваше устройство может быть не готово к смене, вы можете проверить, что ваш браузер поддерживает с помощью этого инструмента от компании по обеспечению безопасности облачных вычислений Qualys.
Толчок в электронной коммерции к обновлению протоколов шифрования отражает более широкие усилия всей технологической отрасли по стандартизации этого типа защиты данных. Например, маленький зеленый замок в вашем браузере использует Transport Layer Security для соединения веб-серверов и вашего браузера, аутентификации обеих сторон, а затем предотвращения подслушивания, когда данные проходят через канал. До настоящего времени цифровые платежи могли обрабатываться с использованием TLS 1.0, 1.1 или 1.2. Но TLS 1.0, кодифицированный в 1999 году, показал свой возраст и обладает известной уязвимостью к многочисленным атакам, включая не совсем симпатичную ошибку POODLE. TLS 1.1 от 2006 года и популярный TLS 1.2 от 2008 года имеют свои собственные проблемы, но, по крайней мере, устраняют некоторые из худших рисков 1.0.
«Зимой 2014-2015 годов был обнаружен ряд уязвимостей, которые позволили злоумышленникам полностью расшифровать сетевой трафик, защищенный TLS 1.0», - говорит Кенн Уайт, директор проекта Open Crypto Audit Project. «Проблемы - это фундаментальные проблемы разработки протокола, а не то, что можно легко исправить».
«Это становится риском для мошенничества и кражи информации, если вы используете его. Это большая сделка.'
Джек Крави, АмериКоммерц
Многие продавцы предварительно обновили TLS 1.0 года назад, и у отрасли было больше года, чтобы подготовиться к переходу, который Совет по стандартам безопасности PCI назвал «критически важным». Поставщики платформ, такие как PayPal и AmeriCommerce, предлагают поддержку клиентам и уже несколько месяцев используют «дымовые завесы», когда они отключают поддержку TLS 1.0 примерно на час, чтобы помочь торговцам, которые еще не обновились, понять серьезность проблема. В результате этого общеотраслевого толчка клиенты, скорее всего, не столкнутся с проблемами при проведении операций с большинством крупных розничных сетей, но все же могут возникнуть проблемы с большим количеством периферийных организаций или тех, которые не имеют цифровых транзакций в своей работе.,