¿Solo el uso de TLS 1.1 o 1.2 es suficiente para el cumplimiento de PCI DSS en la transmisión de datos del titular de la tarjeta (punto 4)?

Navega tus respuestas
0

He leído la descripción provista en PCI DSS 3.2.1 para el requisito 4, y me cuesta entender si es necesario tener un cifrado adicional sobre TLS 1.1 / 1.2 usando una configuración segura.

En las secciones de orientación de PCI DSS dice:

  

La transmisión segura de los datos del titular de la tarjeta requiere el uso de claves / certificados confiables, un protocolo seguro para el transporte y la fuerza de cifrado adecuada para cifrar los datos del titular de la tarjeta

De lo anterior, ¿TLS 1.1 / 1.2 cubre todos los puntos declarados? 1. Utilice solo claves / certificados de confianza (como lo firmen las autoridades de confianza) 2. Un protocolo seguro para el transporte. 3. Una fuerza de cifrado adecuada

Entonces mi pregunta sería: 1. ¿Usar solo TLS (1.1 o 1.2) con una configuración segura es suficiente para el cumplimiento (de este punto)? 2. Si lo anterior no es cierto, ¿el sistema debería incluir un cifrado adicional además de eso?

    
pregunta armrod007 16.11.2018 - 08:05
fuente

1 respuesta

0

La respuesta corta: Sí, TLS v1.1 y v1.2 son protocolos adecuados para la transmisión de datos del titular de la tarjeta y, a menos que haya identificado un espacio en la ruta de transmisión (es decir, donde TLS no protegerá los datos del acceso no autorizado) encriptación adicional no será necesario.

También hay lo siguiente en las Notas de orientación para el control 4.1:

  

Consulte los estándares de la industria y las mejores prácticas para obtener información sobre criptografía sólida y protocolos seguros (por ejemplo, NIST SP 800-52 y SP 800-57, OWASP, etc.)

    
respondido por el R15 16.11.2018 - 08:18
fuente

Lea otras preguntas en las etiquetas

Sugerencias de contraseña de texto simple para Netflix en Firefox SSH: Práctica recomendada para la autenticación de PublicKey de varios dispositivos