Solo l'utilizzo di TLS 1.1 o 1.2 è sufficiente per la conformità PCI DSS alla trasmissione dei dati dei titolari di carta (punto 4)?

0

Ho letto la descrizione fornita su PCI DSS 3.2.1 per Requierement 4, e ho difficoltà a capire se è necessario avere una crittografia aggiuntiva su TLS 1.1 / 1.2 utilizzando una configurazione sicura.

Nelle sezioni di guida PCI DSS viene indicato:

Secure transmission of cardholder data requires using trusted keys/certificates, a secure protocol for transport, and proper encryption strength to encrypt cardholder data

Da quanto sopra, TLS 1.1 / 1.2 copre tutti i punti dichiarati? 1. Utilizzare solo chiavi / certificati affidabili (come firmato dalle autorità fidate) 2. Un protocollo sicuro per il trasporto 3. Una forza di crittografia appropriata

Quindi la mia domanda sarebbe: 1. L'utilizzo di solo TLS (1.1 o 1.2) con una configurazione sicura è sufficiente per la conformità (di questo punto)? 2. Se sopra non è vero, il sistema dovrebbe includere ulteriore crittografia in aggiunta?

    
posta armrod007 16.11.2018 - 08:05
fonte

1 risposta

0

La risposta breve: sì TLS v1.1 e v1.2 sono protocolli adatti per la trasmissione dei dati dei titolari di carta e, a meno che non sia stato identificato un vuoto nel percorso di trasmissione (cioè dove TLS non protegge i dati dall'accesso non autorizzato) crittografia aggiuntiva non sarà necessario.

C'è anche quanto segue nelle note di guida per il controllo 4.1:

Refer to industry standards and best practices for information on strong cryptography and secure protocols (e.g., NIST SP 800-52 and SP 800-57, OWASP, etc.)

    
risposta data 16.11.2018 - 08:18
fonte

Leggi altre domande sui tag