Supportando TLS v1.0 pur restando conforme PCI

5

Abbiamo ancora una parte significativa delle vendite provenienti dagli utenti che utilizzano browser che non supportano ancora TLS 1.1+. Abbiamo anche richieste dai nostri processori di pagamento di smettere di supportare TLS 1.0 per la conformità PCI.

La mia domanda è questa:

È considerato compatibile con PCI se il tuo server supporta ancora TLS 1.0 ma non consente agli utenti che lo utilizzano di acquistare e inviare dati personali o della carta di credito.

Il flusso dovrebbe essere come questo:

  1. L'utente visita il sito Web e prova ad acquistare il prodotto

  2. Il server Apache esaminerebbe SSL_PROTOCOL e verificherà che l'utente non stia utilizzando TLSv1

  3. Se l'utente utilizza TLSv1, informeremmo l'utente in modo amichevole che è necessario aggiornare il browser per completare l'acquisto o chiamarci presso il nostro ufficio per aiutarli a completare l'acquisto.

  4. Se un utente utilizza TLSv1.1 +, lasceremo che si occupino della sua attività.

L'idea è che se rimuoviamo gli utenti di TLS 1.0 usando browser che supportano solo quelli otterranno una pagina di errore del browser e non una bella pagina che li informi del problema dal nostro sito web.

La mia domanda si riduce a: La conformità PCI richiede che il server stesso non supporti TLS 1.0, o richiede solo che tu abbia mitigato la possibilità di trasmettere dati personali tramite TLS 1.0

Grazie per il consiglio, SO.

    
posta jimmy0x52 02.12.2016 - 23:52
fonte

2 risposte

5

No CHD over TLS 1.0

Il requisito principale come esplicitamente elencato in PCI DSS è che i dati dei titolari di carta (CHD) devono essere crittografati in modo sicuro durante il transito, non sulla particolare configurazione dei server. TLS 1.0 non è considerato appropriato per considerare il canale crittografato in modo sicuro, ma anche i canali totalmente non criptati possono essere utilizzati dai sistemi in-scope se esiste un motivo valido e non vengono inviati dati sensibili su di essi, come nell'esempio.

Il fatto che il tuo server supporti TLS 1.0 verrà visualizzato su recensioni / scansioni e solleverà domande, ma IMHO il revisore accetterebbe il tuo flusso di dati proposto, dovresti solo inserire questa descrizione e spiegazione durante l'audit.

Si noti che una particolare istituzione o processore di pagamento può anche avere requisiti leggermente diversi oltre a quanto richiesto da un audit di conformità PCI DSS.

    
risposta data 03.12.2016 - 02:29
fonte
1

IANAQSA ma sono abbastanza sicuro che puoi mettere la parte "a pagamento" del tuo negozio su un server separato - che molti commercianti già fanno solo per ridurre l'ambito PCI - quindi consentire ai clienti di connettersi al 'LOOK! A! SUPER! CARATTERISTICHE!' pagine con TLS1.0 o anche testo in chiaro se si desidera, ma avvisare che non possono acquistare (almeno con la carta di pagamento). Per il pagamento effettivo, reindirizza i clienti aggiornati a un server che impone almeno 1,1 e tu (o il processore) puoi ottenere una scansione ASV standard su quel server.

    
risposta data 03.12.2016 - 02:36
fonte

Leggi altre domande sui tag