Estoy trabajando en una compañía que es compatible con PCI, pero creo que han interpretado incorrectamente algunos de los requisitos. Debido a esto, están trabajando para crear soluciones que sospecho que no son necesarias.
Específicamente, me pregunto acerca de la definición de "Transmisión", en el contexto del requisito 4.2b de PCI "Todos los datos secretos y confidenciales deben cifrarse en todo momento durante la transmisión y el almacenamiento".
La compañía considera que esto significa que cada vez que se copia un archivo DENTRO DE LA RED INTERNA, esto constituye una transmisión y, por lo tanto, el archivo debe estar cifrado primero.
Sin embargo, creo que la transmisión parece implicar una transferencia a través de Internet, donde, por supuesto, es necesario que esté cifrado.
¿Alguien puede ayudar a resolver el argumento?