Di cosa stai parlando sono le note relative a SSL / TLS su diversi requisiti, come 2.2.3 in PCI DSS v3.1 :
Note: SSL and early TLS are not considered strong cryptography and
cannot be used as a security control after June 30, 2016. Prior to
this date, existing implementations that use SSL and/or early TLS must
have a formal Risk Mitigation and Migration Plan in place.
Questo si collega al processo di valutazione del rischio in 12.2:
12.2 Implement a risk-assessment process that:
- Is performed at least annually and upon significant changes to the environment (for example,
acquisition, merger, relocation, etc.),
- Identifies critical assets,
threats, and vulnerabilities, and
- Results in a formal, documented
analysis of risk.
Vedi questa guida per cosa significa TLS e SSL iniziali. In breve, tutte le comunicazioni SSL / TLS devono essere su TLS 1.1 e versioni successive.
Non so a cosa ti riferisci con "abbassando il tuo punteggio", tuttavia il tuo piano di mitigazione deve avere qualcosa in atto per dire come ti stai liberando di TLS 1.0 e precedenti prima di luglio 2016. Dopo questa data tu non deve utilizzare TLS 1.0 e versioni precedenti, pertanto eventuali audit eseguiti dopo questa data non funzioneranno se lo si è. Hai ragione, non è necessario che questi protocolli siano disabilitati, basta che il piano sia lì.
Disclaimer: non sono un QSA, né il tuo QSA