Estoy buscando alguna aclaración sobre los efectos de PCI DSS v3.1.
En un contexto de comercio electrónico para el consumidor (por ejemplo, amazon.com), asumo que los clientes que intentan realizar compras con tarjeta de crédito en el sitio, usando Windows XP, ya no serán compatibles, debido a la eliminación de TLS 1.0 como un Versión de protocolo aceptable. ¿Esto es correcto?
Los usuarios de Windows XP con IE no podrán comprar a proveedores compatibles con PCI en Internet después de que la prohibición de TLS 1.0 por parte de DSS v3.1 se produzca en junio de 2016. (La mayoría de los comerciantes verifican fuera de TLS v1.0 en algún lugar antes para que sea compatible sin un apuro de último minuto).
Por supuesto, si desean usar Chrome, Firefox, Opera o cualquier otro navegador moderno bajo Windows XP, podrán seguir haciendo compras. Aquí hay una excelente tabla de protocolos admitidos por OS / Client por Qualys .
Es la combinación de un navegador no compatible en un sistema operativo no compatible que está matando el combo XP + IE.
Pueden usar Windows XP siempre que utilicen un navegador que no use la pila SSL / TLS de Windows.
Chrome y Firefox usan sus propias pilas SSL / TLS para que continúen funcionando. Internet Explorer usa la pila TLS de los sistemas operativos, por lo que no funcionará. No he investigado otros navegadores o aplicaciones cliente que no sean de navegador, pero espero que al menos algunos de ellos tengan problemas.
Podría ser una idea comenzar a hacer que un agente de usuario detecte a los usuarios de IE / XP y los empuje hacia Firefox / Chrome (lo ideal sería que actualizaran su sistema operativo, pero eso puede ser un puente demasiado lejos para muchos de ellos). )