Effetto sulla conformità PCI del non controllo del certificato SSL?

22

Stati PCI DSS:

"[Devi ...] verificare che siano accettate solo chiavi / certificati SSL / TLS affidabili."

Per farla breve, il nostro fornitore di servizi di pagamento ci ha appena chiesto di smettere di verificare il certificato dopo aver avuto alcuni problemi di handshake SSL. È sbagliato?

    
posta Eric R. 01.10.2014 - 20:23
fonte

2 risposte

33

Sì, questo è sbagliato, ed ecco perché. Come accennato, PCI-DSS richiede che le comunicazioni contenenti dati sensibili vengano gestite su un canale sicuro. Come parte di questo processo, la convalida del certificato garantisce che il certificato in questione sia in buono stato e appartenga alla parte con cui si intende parlare. Se non convalidi il certificato, il traffico potrebbe anche essere non crittografato perché hai nessuna idea di chi è all'altro capo. Potrebbe essere il tuo fornitore di mercanti, o potrebbe essere un man-in-the-middle che sta leggendo e memorizzando tutti i dati delle carte che hai inviato prima di inoltrarli al fornitore. Senza la convalida del certificato, non puoi sapere chi sta visualizzando i dati, quindi il tuo livello di fiducia che il canale di trasporto è sicuro deve essere necessariamente 0%.

Quindi, come ho detto nei commenti, non accettare questa condizione. Se il tuo fornitore commerciale non può, o non risolverà i problemi in modo che tu possa validamente convalidare i loro certificati, trova un altro fornitore commerciante. In realtà, potrebbe non essere una cattiva idea in ogni caso, perché se sono disposti a giocare in modo veloce e libero con PCI e sicurezza qui, non puoi sapere dove altro nel loro sistema hanno preso libertà simili mettendo te e la tua clienti a rischio.

    
risposta data 01.10.2014 - 20:46
fonte
-4

Standard per la protezione dei dati del settore delle carte di pagamento - > Sì, è sbagliato!

Puoi forse controllare cosa c'è di sbagliato nell'handshake sul test del server Qually SSL Labs:

link

Se si trattava di un servizio, potevano offrirlo senza SSL e dirti di usarlo, ma qui è semplicemente pazzesco persino suggerirlo.

+ ciò che Xander ha detto.

    
risposta data 02.10.2014 - 00:26
fonte

Leggi altre domande sui tag