Michael, la mia lettura di questa guida è che il requisito di passare a TLS 1.1 (preferibilmente 1.2) si applica oltre il contesto POI ai sistemi interni, inclusi (per quanto posso dire da ciò che hai fornito) i collegamenti tra il server di cui parli. Lo dico perché, in primo luogo, degli effettivi requisiti PCI che la guida indica come implicati qui:
Requirement 2.2.3 Implement additional security features for any
required services, protocols, or daemons that are considered to be
insecure.
Requirement 2.3 Encrypt all non-console administrative
access using strong cryptography.
Requirement 4.1 Use strong cryptography and security protocols to safeguard > sensitive cardholder data during transmission over open, public networks.
Ora, le connessioni crittografate da commerciante a te che coinvolgono POI fanno chiaramente parte di ciò attraverso Req. 4.1. Ma il riferimento alla Regola 2.3 sulla crittografia di tutti gli accessi agli amministratori e alla Regola 2.2.3 con la sua più ampia applicabilità generale a molti sistemi che possiede un'entità coperta da PCI mi porta a credere che le connessioni di elaborazione interne di cui parli siano effettivamente all'interno requisito di aggiornamento.
Ora, come al solito con la roba PCI, una cosa importante da tenere a mente è che spesso c'è molta più flessibilità incorporata nei requisiti rispetto a ciò che potrebbe sembrare il caso a prima vista. Ad esempio, le linee guida collegate indicano che è possibile soddisfare il mandato di "upgrade" se si utilizza la crittografia in un altro layer / tipo che è altrettanto strong (security-guarantee wise) di TLS 1.1. Ad esempio, se si imposta un tunnel IPsec tra due server e si esegue il flusso TLS 1.0 non aggiornabile tramite la guida, si afferma che si è & sarà conforme. Per ulteriori informazioni sulla flessibilità che potresti avere sotto la guida e in base ai Requisiti effettivi in generale, cercherò sicuramente un consulente o un'azienda PCI che abbia una strong esperienza nell'aiutare gateway di pagamento e amp; i processori di pagamento si adeguano alle nuove evoluzioni delle regole PCI che si verificano in seguito ai massicci furti di informazioni finanziarie degli utenti che si sono verificati negli ultimi anni. (E, mentre sono in procinto di ottenere un consiglio diretto e affidabile da un esperto, introdurrò la dichiarazione di non responsabilità che non ho esaminato estesamente nei dettagli del vostro caso, può o non può avere sufficiente esperienza- -da il tuo punto di vista, sono solo un ragazzo su Internet - per farlo, e quindi quello che ho scritto sopra non è un sostituto per la consulenza professionale.)
In altre parole, penso che le tue connessioni di rete interne siano coperte dalla regola di aggiornamento, almeno nella misura in cui trasmettono le credenziali di autenticazione necessarie per fare cose amministrative (ad esempio nomi utente e password, ovviamente) e / oppure trasporta dati e dati sensibili della carta altre informazioni finanziarie su di loro. I miei due centesimi ...
PS: tieni presente non solo la scadenza definitiva per l'aggiornamento (o la realizzazione di protezioni TLS ridondanti) entro giugno 2016, ma anche le misure di segnalazione e attenuazione di cui si discute anche la guida.