Estoy configurando un centro de llamadas de conformidad con PCI. Me pregunto si mi proveedor de servicios de Internet tiene que ser compatible con PCI. Solo me estoy conectando a un servicio en la nube que utiliza SSL y ese servicio en la nube es compatible con PCI. ¿Tendré problemas si el ISP no está certificado?
No, el ISP no necesita ser compatible con PCI en este sentido. Si no se estuviera comunicando a través de un canal seguro (es decir, TLS), estaría violando los requisitos de datos en tránsito de PCI DSS.
Otra forma de pensar sobre esto es desde la perspectiva del cliente: si hay un sitio web público de quejas de PCI DSS, ¿el ISP del cliente debe ser compatible con PCI DSS? No, la responsabilidad recae en usted para garantizar que la capa de transporte esté correctamente encriptada.
En tales casos, TLS se considera un control de compensación , lo que significa que algo que está haciendo no sería estrictamente compatible (por ejemplo, el envío de datos de la tarjeta en tránsito a través de la red pública de otra persona), pero usted lo ha implementado. controles de seguridad adicionales que mitigan esa preocupación.
Como nota aparte, tenga en cuenta que el consejo PCI está en proceso de desaprobar TLS 1.0 (todas las versiones anteriores ya están en desuso), por lo que no será compatible si TLS 1.0, SSLv3 o SSLv2 están habilitados en cualquier servicio en su red.
Lea otras preguntas en las etiquetas pci-dss