Compatibilidad con TLS v1.0 aunque sigue siendo compatible con PCI

5

Tenemos una parte importante de las ventas de usuarios que utilizan navegadores que aún no son compatibles con TLS 1.1+. También tenemos demandas de nuestros procesadores de pago para dejar de admitir TLS 1.0 para el cumplimiento de PCI.

Mi pregunta es esta:

Se considera compatible con PCI si su servidor aún es compatible con TLS 1.0, pero no permite que los usuarios lo utilicen para comprar y enviar información personal o de tarjetas de crédito.

El flujo sería así:

  1. El usuario visita el sitio web e intenta comprar el producto

  2. El servidor Apache buscaría SSL_PROTOCOL y se aseguraría de que el usuario no esté usando TLSv1

  3. Si el usuario está utilizando TLSv1, le informaremos de manera amigable sobre la necesidad de actualizar su navegador para completar su compra, o nos llamará a nuestra oficina para ayudarlo a completar la compra.

  4. Si un usuario está utilizando TLSv1.1 +, le permitiremos continuar con su negocio.

La idea aquí es que si eliminamos a los usuarios de TLS 1.0 que usan navegadores que solo son compatibles, obtendremos una página de error del navegador y no una página agradable que les informe del problema desde nuestro sitio web.

Mi pregunta se reduce a: ¿El cumplimiento de PCI requiere que el servidor en sí no sea compatible con TLS 1.0, o solo requiere que haya mitigado la capacidad de transmisión de datos personales a través de TLS 1.0?

Gracias por el consejo, SO'ers.

    
pregunta jimmy0x52 02.12.2016 - 23:52
fuente

2 respuestas

5

Sin CHD sobre TLS 1.0

El requisito básico que se enumera explícitamente en PCI DSS es que los datos del titular de la tarjeta (CHD) deben cifrarse de forma segura en tránsito, no sobre la configuración particular de los servidores. TLS 1.0 no se considera apropiado para considerar el canal encriptado de forma segura, pero incluso los canales no encriptados pueden ser utilizados por los sistemas dentro del alcance si hay una razón válida y no se envían datos confidenciales a través de ellos, como en su ejemplo.

El hecho de que su servidor admita TLS 1.0 se mostrará en las revisiones / exploraciones y generará preguntas, pero en mi humilde opinión, el auditor aceptaría su flujo de datos propuesto, solo tendría que presentar esta descripción y explicación durante la auditoría.

Tenga en cuenta que una institución o un procesador de pagos en particular también pueden tener requisitos ligeramente diferentes además de lo que requiere una auditoría de cumplimiento de PCI DSS.

    
respondido por el Peteris 03.12.2016 - 02:29
fuente
1

IANAQSA, pero estoy bastante seguro de que puede colocar la parte de 'pago' de su tienda en un servidor separado , lo que muchos comerciantes ya hacen solo para reducir el alcance de PCI, y luego permitir que los clientes se conecten a la '¡MIRA! ¡A! ¡SÚPER! ¡CARACTERISTICAS!' páginas con TLS1.0 o incluso texto sin formato si lo desea, pero adviértales que no pueden comprar (al menos con tarjeta de pago). Para el pago real, redirige a los clientes actualizados a un servidor que aplica al menos 1.1, y usted (o el procesador) puede obtener un análisis ASV estándar en el servidor que .

    
respondido por el dave_thompson_085 03.12.2016 - 02:36
fuente

Lea otras preguntas en las etiquetas