Sto configurando un call center per la conformità PCI. Mi chiedo se il mio fornitore di servizi internet debba essere certificato PCI compatibile? Mi collego solo a un servizio cloud che utilizza SSL e che il servizio cloud è conforme PCI. Avrò problemi se l'ISP non è certificato?
No, l'ISP non ha bisogno di essere conforme PCI in questo senso. Se non stavi comunicando tramite un canale sicuro (ad esempio TLS), violerebbe comunque i requisiti di transito dei dati di PCI DSS.
Un altro modo per pensare a questo è dal punto di vista del cliente - se c'è un sito Web di denuncia pubblico PCI DSS, l'ISP del cliente deve essere conforme PCI DSS? No, l'onere è su di te per assicurarti che il livello di trasporto sia crittografato correttamente.
In questi casi, TLS è considerato un controllo compensativo , il che significa che qualcosa che stai facendo non sarebbe strettamente conforme (ad esempio, l'invio di dati di carte in transito attraverso la rete pubblica di qualcun altro) ma hai implementato ulteriori controlli di sicurezza che mitigano tale preoccupazione.
Per inciso, tieni presente che il consiglio PCI è in procinto di deprecare TLS 1.0 (tutte le versioni precedenti sono già deprecate) in modo da non essere compatibile se TLS 1.0, SSLv3 o SSLv2 sono abilitati su qualsiasi servizio sulla tua rete.
No, l'ISP non è incluso nell'ambito.
con ciò consiglio vivamente la revisione del supplemento del consiglio PCI per proteggere i dati delle carte di pagamento basati su telefono, puoi trovarli qui: PCI DSS, Supplemento delle informazioni - dati della carta di pagamento basati su telefono
Leggi altre domande sui tag pci-dss