Стандарты PCI от начала до конца

Question

Чтобы соблюсти все меры предосторожности, необходимо зашифровать все конфиденциальные данные при их хранении и передаче, такие как карточки, адреса, пол, имена и т. Д. c.

Я знаю, что TLS 1.3 шифрует все данные. Но стандарт гласит: Шифрование всех электронных / 1014 * передач конфиденциальной и личной информации. Я понимаю, что стандарт требует, чтобы НА СТОРОНЕ КЛИЕНТА мы добавили дополнительный уровень безопасности; этот дополнительный слой будет шифровать вручную с помощью алгоритмов RSA со стороны клиента на сервер и наоборот для любого обмена конфиденциальными данными.

Вы можете найти официальный PDF с требованиями здесь

https://www.pcisecuritystandards.org/documents/SSF-Qualification-Requirements-for-Assessors-V1.pdf?agreement=true&time=1580914534790

Answer 1

TLS 1.3 через HTTPS рассматривает возможность шифрования данных при передаче. Если сайт использует эти протоколы, в данный момент нет необходимости шифровать данные на стороне клиента для стандартов PCI, поскольку TLS уже достигает этого.

Дополнительная информация: шифрование на стороне клиента не очень полезно и обычно компании не используют его. Тем не менее, в области безопасности есть некоторые сайты, которые перед отправкой шифруют данные на стороне клиента. Эта опция должна быть защищена от любого нарушения TLS и дать дополнительное время для исправления и обновления до последней версии без ущерба для каких-либо данных. Тем не менее, этот дополнительный шаг может быть сочтен ненужным после использования TLS.