Ho letto questa bella domanda:
Il protocollo SSL deve essere terminato con un servizio di bilanciamento del carico?
E ho la stessa domanda, ma con la conformità PCI-DSS in mente.
Il servizio di bilanciamento del carico è terminato con SSL, con comunicazioni chiare tra il servizio di bilanciamento del carico e i server Web, conforme PCI?
Uso AWS Elastic Beanstalk, che sotto la cappa utilizza istanze EC2 e bilanciamento del carico.
In base alla sezione 4.1 dello PCI Data Security Standard tutti i dati relativi alla carta di credito da parte del commerciante devono:
"...use strong cryptography and security protocols such as SSL/TLS or IPSEC to safeguard sensitive cardholder data during transmission over open, public networks.”
Ciò significa che SSL Front End è consentito, poiché una volta che i dati raggiungono l'LB, si considera che sia entrato in una rete privata protetta.
Inoltre, la Guida al programma dei fornitori di analisi approvati indica che tutti i server dietro un bilanciatore del carico sono esenti da scansioni interne se condividono una configurazione simile.
La risposta non è molto buona. Questa è una di quelle aree grigie di PCI e dipende molto dal tuo QSA ...
Nelle aziende in cui ho lavorato in passato, ci siamo allontanati, anche se abbiamo lavorato per ristabilire SSL sul back-end dei bilanciatori del carico perché è una buona pratica generale e un sovraccarico minimo. Questo si riduce alla porzione "open, public networks" di PCI DSS 4.1 (versione 2.0) .
4.1 Use strong cryptography and security protocols (for example, SSL/TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data during transmission over open, public networks.
La tua rete interna non è considerata una "rete pubblica aperta" e pertanto non è soggetta ai requisiti di crittografia. Onestamente, suggerirei comunque di crittografare il back-end, specialmente se stai usando un cloud pubblico.
Tieni presente che PCI DSS 3.0 è in programma per uscire presto e la conformità sarà prevista per il 2015 nella maggior parte dei casi ( bozza qui ). Non sembrano esserci possibilità nella specifica di richiedere SSL sul back-end.
In ogni caso (terminazione ssl o no) direi che il bilanciamento del carico è in ambito per la conformità pci, poiché il bilanciamento del carico decodifica i dati (possibilmente contenenti numeri di tessera) che riceve e poi li inoltra ai server appropriati.
Stabilito che è nel campo di applicazione, per essere considerato conforme dovrebbe rispettare tutti i requisiti PCI applicabili a un server che elabora i dati dei titolari di carta.
Leggi altre domande sui tag tls pci-dss compliance