Me dirigiré a HIPAA primero, ya que es un reglamento real que usted debe cumplir (suponiendo que usted es una entidad cubierta), mientras que el cumplimiento de PCI es un requisito contractual impuesto a los comerciantes por sus bancos / proveedores de cuentas de comerciantes / procesadores de pasarela .
HIPAA no tiene requisitos de tecnología específicos con respecto a los certificados SSL. Requiere que la PHI esté cifrada AMBOS en tránsito y en reposo, pero generalmente se refiere a lo que se considera la "mejor práctica" para los detalles técnicos, como se define en Instituto Nacional de Estándares y Tecnología .
Como regla general, me imagino que la firma que realiza su auditoría se asegurará de que está utilizando los modernos protocolos TLS y un nivel de cifrado suficientemente sólido para su certificado y también de que está cifrando correctamente los datos en cualquier sistema de almacenamiento están usando. En mi experiencia, estas cosas son menos "pasar / fallar" y más de un continuo de puntuación.
Me imagino que obtendría una mejor puntuación en su auditoría si utiliza un certificado EV SSL completo de un importante proveedor que realiza una profunda verificación de antecedentes en su empresa para garantizar tanto el negocio (verificación de identidad de quién es usted) ) y el técnico (certificado configurado para usar cifrado moderno / fuerte) en lugar de usar Let's Encrypt o algo para generar un certificado perfectamente válido. Tampoco debería resultar en que usted "falle" una auditoría, al menos no en mi experiencia. He utilizado CloudFlare's compartió certificados SSL / TLS sin ningún problema en el pasado, a pesar de YMMV.
Encontré este artículo para comprender la distinción entre lo que se requiere y lo mejor practicas Además, tiendo a usar la Qualsys SSL / TLS Online Testing Tool para revisar las configuraciones de los clientes durante mis propias auditorías, y podría encontrar es útil.
El cumplimiento de PCI-DSS es un poco diferente. Ellos especifican (y actualizan con el tiempo) los requisitos sobre qué tecnologías de encriptación TLS / SSL específicas se requieren para el cumplimiento, aunque en general debería ser capaz de cumplir con cualquiera de las anteriores que mencioné anteriormente.
Si desea obtener un puntaje más alto en su auditoría (y posiblemente reducir las tarifas de transacción de su Cuenta de comerciante y las primas de los seguros cibernéticos, opte por los certificados EV de gama alta y totalmente pagados. Esa es una decisión comercial más que una decisión técnica y cualquiera de las posibilidades mencionadas anteriormente debe satisfacer sus necesidades técnicas, suponiendo que siga las mejores prácticas.