¿Efecto en el cumplimiento de PCI de no verificar el certificado SSL?

22

Estados PCI DSS:

"[Debe ...] verificar que solo se aceptan las claves / certificados SSL / TLS de confianza".

En pocas palabras, nuestro proveedor de servicios de pago acaba de pedirnos que por favor detengamos verificando su certificado después de que tuvimos algunos problemas con el protocolo SSL. ¿Está esto mal?

    
pregunta Eric R. 01.10.2014 - 20:23
fuente

2 respuestas

33

Sí, esto está mal, y aquí es por qué. Como mencionó, PCI-DSS requiere que la comunicación que contiene datos confidenciales se maneje a través de un canal seguro. Como parte de este proceso, la validación del certificado garantiza que el certificado en cuestión esté en buen estado y pertenezca a la parte con la que desea hablar. Si no valida el certificado, es posible que el tráfico no esté encriptado porque no tiene idea de quién está en el otro extremo. Puede ser su proveedor comercial o un hombre en el medio que está leyendo y almacenando todos los datos de la tarjeta que envía antes de enviarlos al proveedor. Sin la validación del certificado, no puede saber quién está viendo los datos, por lo que su nivel de confianza de que el canal de transporte es seguro debe ser necesariamente del 0%.

Entonces, como dije en los comentarios, no aceptes esta condición. Si su proveedor comercial no puede o no soluciona los problemas para que pueda validar sus certificados con seguridad, busque otro proveedor comercial. De hecho, puede que no sea una mala idea en cualquier caso, porque si están dispuestos a jugar rápido y suelto con PCI y seguridad aquí, no puede saber en qué otro lugar de su sistema se han tomado libertades similares que le ponen a usted y a usted. Clientes en riesgo.

    
respondido por el Xander 01.10.2014 - 20:46
fuente
-4

Estándar de seguridad de datos de la industria de tarjetas de pago - > Sí, está mal!

Tal vez pueda comprobar qué está mal con el protocolo de enlace en la prueba del servidor de Qually SSL Labs:

enlace

Si se tratara de cualquier servicio, podrían ofrecerlo sin SSL y decirle que lo use, pero aquí es una locura incluso sugerirlo.

+ lo que dijo Xander.

    
respondido por el user56835 02.10.2014 - 00:26
fuente

Lea otras preguntas en las etiquetas