Autorità di certificazione approvata per certificazione / conformità con HIPAA, PCI ecc

2

Esistono requisiti in PCI o HIPAA o altri standard di sicurezza che possono influire sulle amministrazioni pubbliche, l'elaborazione dei pagamenti, l'assistenza sanitaria, che squalificheranno qualsiasi fornitore di CA ritenuto affidabile dai principali browser da una scelta valida per i siti Web pubblici? O che prescrive un elenco di specifici fornitori di CA che sono approvati? Ci sono dei lati negativi noti solo per andare con il fornitore più economico che è il browser di fiducia e in grado di emettere certs che soddisfano altri requisiti come sha2, 2048 ecc.

    
posta bkr 23.03.2016 - 21:45
fonte

1 risposta

1

In primo luogo mi riferirò all'HIPAA, poiché è un regolamento effettivo a cui è richiesto di conformarsi (presumendo che tu sia un'entità coperta) mentre la conformità PCI è un requisito contrattuale imposto ai commercianti dalle loro banche / fornitori di account commerciante / processori gateway .

HIPAA non ha requisiti tecnologici specifici per quanto riguarda i certificati SSL. Richiede che PHI sia crittografato ENTRAMBI in transito e a riposo, ma generalmente rimanda a ciò che è considerato "migliore pratica" per i dettagli tecnici, come definito dal Istituto nazionale per gli standard e la tecnologia .

Come regola generale, immagino che l'impresa che esegue la verifica verificherà che si stiano utilizzando i moderni protocolli TLS e un livello di crittografia sufficientemente elevato per il certificato e inoltre si assicuri di crittografare correttamente i dati in qualsiasi sistema di archiviazione stiamo usando. Nella mia esperienza, queste cose sono meno "passate / fallite" e più di un continuum.

Immagino che otterresti un punteggio migliore nella tua verifica se utilizzi un certificato EV EV completo di un importante fornitore che esegue un controllo approfondito sulla tua impresa per garantire sia l'azienda (verifica dell'identità di chi sei ) e tecnico (certificato configurato per utilizzare la crittografia moderna / strong) invece di utilizzare Let's Encrypt o qualcosa del genere per generare un certificato perfettamente valido. Nessuno dei due dovrebbe comportare un "fallimento" di un audit, in affitto non nelle mie esperienze. Ho usato CloudFlare certificati SSL / TLS condivisi senza problemi in passato, sebbene YMMV.

Ho trovato questo articolo utile per comprendere la distinzione tra ciò che è necessario e il migliore pratiche. Inoltre, tendo a utilizzare lo strumento di test online SSL / TLS di Qualsys per esaminare le configurazioni dei client durante i miei audit, e potresti trovare è utile.

La conformità PCI-DSS è leggermente diversa. Loro DEVONO specificare (e aggiornare nel tempo) i requisiti su quali specifiche tecnologie di crittografia TLS / SSL sono richieste per la conformità, anche se generalmente dovresti essere in grado di rispettare uno dei precedenti sopra citati in precedenza.

Se vuoi ottenere un punteggio più alto nella tua verifica (e potenzialmente abbassare le commissioni sulle transazioni del conto commerciante e i premi per l'assicurazione cibernetica, scegli i certificati EV di fascia alta interamente pagati. Questa è una decisione commerciale più che una decisione tecnica e qualsiasi delle possibilità discusse sopra dovrebbe soddisfare i tuoi bisogni tecnici assumendo che tu segua le migliori pratiche.

    
risposta data 31.01.2018 - 06:51
fonte

Leggi altre domande sui tag