шифров класса EXPORT

Да сколько ж можно?

удаляют шифры EXPORT

Джва года, как надо было это сделать.

Походу ssl окончательно похоронили.

Уязвимости - они такие. Пока звучное имя и логотип не придумаешь, то их как бы и нет вовсе.

SSL 3 был отключен уже в умершей Опере на Presto хз сколько лет назад, а SSL 2 был вообще удален из кода еще раньше.

Походу ssl окончательно похоронили.

Это точно

А как же xp и серверная 2003 ?

Я повторю, ладно? Если банк работает с международными платежными системами, он должен проходить сертификацию на соответствие PCI DSS, где черным по-английски написано: не ниже TLS 1.0, переход на TLS не ниже 1.1 по первому же требованию.

Как раз банк может спокойно работать без всяких там PCI DSS (и зачастую ими там даже и не пахнет), но вот от своих шлюзов-контрагентов-мерчантов, работающих с карточными данными, соответствие этому стандарту будет требовать. Но сам банк… Максимум процессинг, и то если он есть.

PCI DSS это совершенно необязательный стандарт в общем случае, и многие никаких аудитов по нему и не пытаются проходить, если есть возможность договориться без него. Ибо дорого и геморрой. Его проходят вынужденно, т.к. обычно банк к своему процессингу иначе не подключит.

Как раз банк может спокойно работать без всяких там PCI DSS

И эмитенты, и эквайеры (merchant bank), и сервис провайдеры с прочими третьими лицами (TPA — third party agents в терминологии PCI), и мерчанты — все обязаны-таки соответствовать PCI DSS. Точнее существуют ещё более специфические стандарты, всякие там ISO-ATM, ISO-C, ISO-M, ISO-PP, но это немного другая опера.

Например, «Альфа-Банк» имеет действующий до 31 декабря PCI DSS, аудитором по которому является QSA «ДиалогНаука». У «Внешэкономбанка» также, но аудитор другой. А, знаю, «Гознак» не имеет PCI DSS, но зато у них специфический и куда более строгий AVP, позволяющий персонифицировать чипы и магнитные полосы. Хотя постой, он ведь не банк…

Даже монстр «Сбербанк» имеет PCI DSS. «Информзащита» вешалась, но таки проводила аудит.

Максимум процессинг, и то если он есть.

Все обрабатывающие, хранящие, передающие и вообще прикасающиеся к информации о транзакциях, владельцах и прочих карточных данных обязаны соответствовать PCI DSS. Даже если это мерчант четвертой категории, для которого не обязан аудит, а хватает только честного слова в форме. Хотя конечно, если у тебя меньше миллиона транзакций в год, Visa и не подумает устраивать внезапную проверку.

многие никаких аудитов по нему и не пытаются проходить

Он как бы обязателен начиная с некоторого уровня. Ежегодно. Через месяц просрочки Visa вешает на тебя желтую карточку, и с тобой перестают работать многие крупные игроки. Еще через месяц вешают красную, и ты варишься в собственном соку. А дальше тебя, считай, просто ни для кого больше не существует.

вышел в нет

Повеяло девяностыми, карточками для дайлапного доступа, HTML-чатами, флиртом по асечке…