为了遵守所有尽职调查,需要在存储和传输时对所有敏感数据进行加密,例如卡片、地址、性别、姓名等。
我知道 TLS 1.3 会加密所有数据。但标准说:
加密 secret 和个人信息的所有电子传输。
我的理解是,该标准要求我们在客户端添加额外的安全层;这个额外的层将使用 RSA 算法从客户端到服务器手动加密,以及任何敏感数据交换的其他方式。
您可以在此处找到带有要求的官方 PDF
https://www.pcisecuritystandards.org/documents/SSF-Qualification-Requirements-for-Assessors-V1.pdf?agreement=true&time=1580914534790
最佳答案
TLS 1.3 over HTTPS 考虑在传输时加密数据。如果站点正在使用这些协议(protocol),目前没有必要根据 PCI 标准在客户端加密数据,因为 TLS 已经实现了它。
更多信息:在客户端加密并不是真正有用,通常公司不使用它。尽管如此,安全区域中的一些站点在发送数据之前会在客户端对数据进行加密。此选项可防止任何 TLS 中断,并在不损害任何数据的情况下提供额外的时间来修补和更新到最新版本。然而,一旦使用了 TLS,这个额外的步骤就被认为是不必要的。
关于ssl - PCI 标准端到端加密,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60079445/