Ho letto la descrizione fornita su PCI DSS 3.2.1 per Requierement 4, e ho difficoltà a capire se è necessario avere una crittografia aggiuntiva su TLS 1.1 / 1.2 utilizzando una configurazione sicura.
Nelle sezioni di guida PCI DSS viene indicato:
Secure transmission of cardholder data requires using trusted keys/certificates, a secure protocol for transport, and proper encryption strength to encrypt cardholder data
Da quanto sopra, TLS 1.1 / 1.2 copre tutti i punti dichiarati? 1. Utilizzare solo chiavi / certificati affidabili (come firmato dalle autorità fidate) 2. Un protocollo sicuro per il trasporto 3. Una forza di crittografia appropriata
Quindi la mia domanda sarebbe: 1. L'utilizzo di solo TLS (1.1 o 1.2) con una configurazione sicura è sufficiente per la conformità (di questo punto)? 2. Se sopra non è vero, il sistema dovrebbe includere ulteriore crittografia in aggiunta?