In primo luogo mi riferirò all'HIPAA, poiché è un regolamento effettivo a cui è richiesto di conformarsi (presumendo che tu sia un'entità coperta) mentre la conformità PCI è un requisito contrattuale imposto ai commercianti dalle loro banche / fornitori di account commerciante / processori gateway .
HIPAA non ha requisiti tecnologici specifici per quanto riguarda i certificati SSL. Richiede che PHI sia crittografato ENTRAMBI in transito e a riposo, ma generalmente rimanda a ciò che è considerato "migliore pratica" per i dettagli tecnici, come definito dal Istituto nazionale per gli standard e la tecnologia .
Come regola generale, immagino che l'impresa che esegue la verifica verificherà che si stiano utilizzando i moderni protocolli TLS e un livello di crittografia sufficientemente elevato per il certificato e inoltre si assicuri di crittografare correttamente i dati in qualsiasi sistema di archiviazione stiamo usando. Nella mia esperienza, queste cose sono meno "passate / fallite" e più di un continuum.
Immagino che otterresti un punteggio migliore nella tua verifica se utilizzi un certificato EV EV completo di un importante fornitore che esegue un controllo approfondito sulla tua impresa per garantire sia l'azienda (verifica dell'identità di chi sei ) e tecnico (certificato configurato per utilizzare la crittografia moderna / strong) invece di utilizzare Let's Encrypt o qualcosa del genere per generare un certificato perfettamente valido. Nessuno dei due dovrebbe comportare un "fallimento" di un audit, in affitto non nelle mie esperienze. Ho usato CloudFlare certificati SSL / TLS condivisi senza problemi in passato, sebbene YMMV.
Ho trovato questo articolo utile per comprendere la distinzione tra ciò che è necessario e il migliore pratiche. Inoltre, tendo a utilizzare lo strumento di test online SSL / TLS di Qualsys per esaminare le configurazioni dei client durante i miei audit, e potresti trovare è utile.
La conformità PCI-DSS è leggermente diversa. Loro DEVONO specificare (e aggiornare nel tempo) i requisiti su quali specifiche tecnologie di crittografia TLS / SSL sono richieste per la conformità, anche se generalmente dovresti essere in grado di rispettare uno dei precedenti sopra citati in precedenza.
Se vuoi ottenere un punteggio più alto nella tua verifica (e potenzialmente abbassare le commissioni sulle transazioni del conto commerciante e i premi per l'assicurazione cibernetica, scegli i certificati EV di fascia alta interamente pagati. Questa è una decisione commerciale più che una decisione tecnica e qualsiasi delle possibilità discusse sopra dovrebbe soddisfare i tuoi bisogni tecnici assumendo che tu segua le migliori pratiche.