Supongamos que tenemos servidores web y de aplicaciones e intentamos cifrar la información de la tarjeta de crédito para nuestra aplicación web financiera. La comunicación entre los servidores web y de aplicaciones está protegida a través de SSL / TLS. Digamos que los datos cifrados son necesarios en el servidor web que se enviará al servidor de la aplicación para su protección. ¿Hay alguna diferencia entre estos dos enfoques?
- Obtener la clave de cifrado del servidor de aplicaciones (que obtiene la clave de HSM) y cifrar los datos en el servidor web.
- El envío de datos no encriptados al servidor de aplicaciones que encripta los datos mediante la clave obtenida de HSM y los devuelve al servidor web.
Detalles sobre el medio ambiente
Estamos tratando de lograr el certificado PCI-DSS para nuestra aplicación de TPV virtual. El servidor web está abierto a Internet fuera de la comunicación también es seguro (SSL). El servidor de aplicaciones contiene la lógica de negocios y solo se accede a través del servidor web. Puede asumir que todos los demás criterios de seguridad para PCI-DSS están garantizados.