Michael, mi lectura de esa guía es que el requisito de cambiar a TLS 1.1 (preferiblemente 1.2) se aplica más allá del contexto de POI a sus sistemas internos, incluyendo (en la medida en que puedo decir de lo que proporcionó) los enlaces entre los servidores de los que hablas. Digo eso porque, primero, de los requisitos de PCI reales a los que apunta la guía como están implicados aquí:
Requisito 2.2.3 Implementar funciones de seguridad adicionales para cualquier
Servicios requeridos, protocolos o demonios que se consideran como
inseguro.
Requisito 2.3 Cifrar todo lo administrativo que no sea de consola
Acceso mediante criptografía fuerte.
Requisito 4.1 Use criptografía fuerte y protocolos de seguridad para salvaguardar > datos confidenciales del titular de la tarjeta durante la transmisión a través de redes abiertas y públicas.
Ahora, las conexiones cifradas de comerciante a usted que involucran PDI son claramente parte de esto a través de Req. 4.1. Pero la referencia a la Regla 2.3 sobre el cifrado de todos los elementos de acceso del administrador y a la Regla 2.2.3 con su aplicabilidad general más amplia a muchos sistemas que posee una entidad cubierta por PCI me lleva a creer que las conexiones de procesamiento internas de las que habla están realmente dentro del requisito de actualización.
Ahora, como es habitual con las cosas de PCI, una cosa importante a tener en cuenta es que a menudo hay mucha más flexibilidad incorporada en los requisitos en comparación con lo que podría parecer el caso a primera vista. Por ejemplo, la guía enlazada a dice que puede cumplir con el mandato de "actualización" si utiliza el cifrado en otra capa / tipo que sea al menos tan fuerte (en cuanto a la garantía de seguridad) como TLS 1.1. Por ejemplo, si configura un túnel IPsec entre dos servidores y luego ejecuta su flujo de TLS 1.0 no actualizable a través de la guía, se indica que usted es & estará en cumplimiento. Para obtener más información sobre las flexibilidades que podría tener bajo la guía y bajo los Requisitos reales más ampliamente, definitivamente, buscaría un consultor o firma de PCI que tenga una gran experiencia en ayudar a las pasarelas de pago y amp; los procesadores de pagos se mantienen al día con las nuevas evoluciones en las reglas de PCI que se están produciendo a raíz de los robos masivos de información financiera de los usuarios que se han producido en los últimos años. (Y, si bien estoy en el tema de obtener asesoramiento directo y confiable de un experto, presento el descargo de responsabilidad obligatorio de que no he analizado detenidamente los detalles de su caso, puede o no tener la experiencia suficiente) Desde su punto de vista, solo soy un tipo en Internet; para hacerlo, y por lo tanto, lo que he escrito anteriormente no es un sustituto de la asesoría profesional.)
En otras palabras, creo que sus conexiones de red internas están cubiertas por la regla de actualización, al menos en la medida en que transmiten la información de credencial de autenticación necesaria para hacer cosas administrativas (por ejemplo, nombres de usuario y contraseñas, por supuesto) y / o llevar datos confidenciales de la tarjeta y amp; Otra información financiera sobre ellos. Mis dos centavos ...
PS: tenga en cuenta no solo la última fecha límite para actualizar (o hacer redundantes) las protecciones de TLS para junio de 2016, sino también las medidas de notificación y mitigación que también se describen en la guía.