符合ISP要求

Question

我正在建立一个PCI遵从呼叫中心。我想知道我的互联网服务提供商是否必须通过符合PCI标准的认证？我只连接到一个使用SSL的云服务，并且该云服务是符合PCI的。如果ISP没有认证，我会遇到任何问题吗？

Answer 1

不，ISP在这方面不需要符合PCI。如果您没有通过安全通道(即TLS)进行通信，那么无论如何您都会违反PCI的数据传输要求。

另一种思考这个问题的方法是从客户的角度--如果有一个面向公众的PCI DSS投诉网站，客户的ISP必须兼容PCI DSS吗？不-你有责任确保传输层被正确加密。

在这种情况下，TLS被认为是一种补偿控制，这意味着您正在做的事情不会严格遵守(例如，通过其他人的公共网络在传输中发送卡片数据)，但是您已经实现了其他安全控制，以减轻这种担忧。

顺便提一下，请记住，PCI理事会正在对TLS1.0(所有以前的版本都已不再推荐)进行否决，因此如果在您网络上的任何服务上启用了TL1.0、SSLv3或SSLv2，您将无法兼容。

Answer 2

不，ISP不包括在范围内。

在此，我高度推荐PCI理事会对保护电话支付卡数据的补充，您可以在这里找到它：，信息补充-基于电话的支付卡数据。