No será fácil) Como saben, hay nuevos requisitos de PCI DSS después del 30 de junio que dicen que no deberíamos usar" SSL / early TLS ".
Pero también están los comentarios de que los comerciantes podrían guardar TLS 1.0 pero con controles de compensación:
"Para los comerciantes que utilizan SSL / TLS anterior distinto al permitido para las conexiones del terminal POS POI:
1) Si se está utilizando SSL / early TLS como control de seguridad para PCI DSS Después de la fecha límite del 30 de junio, asegúrese de que los controles de compensación sean implementado para mitigar el riesgo asociado con su uso y tomar el pasos necesarios para migrar a una alternativa segura tan pronto como sea posible.
2) Si SSL / early TLS está presente pero no se está utilizando como un control de seguridad para cumplir con un requisito de PCI DSS, estos protocolos pueden permanecer en uso Sin embargo, se recomienda encarecidamente que sean migrado a un protocolo de encriptación más moderno lo antes posible ".
Mi empresa tiene un negocio de comercio electrónico y desea guardar TLS 1.0 para algunos clientes. La pregunta clave: ¿cuáles son los controles de compensación para este caso? Me refiero al acceso web habitual desde Internet público.
PD: acabo de comprobar, incluso los gigantes del comercio electrónico mundial como Ebay y Amazon siguen siendo compatibles con TLS1.0 para los clientes. ¿Es debido a los controles de compensación?