在我们的办公室，通过 Spectrum Business 提供给我们的电缆调制解调器连接到互联网。

我们的财务主管使用 verifone vx520 读卡器来处理信用卡付款。它通过以太网连接。我们不存储信用卡数据。

听起来您属于SAQ B-IP（您会很高兴助记符是“SAQ B-for-Brick-and-Mortar”）：

SAQ B-IP 的开发旨在满足适用于仅通过独立的、经 PTS 批准的交互点 (POI) 设备处理持卡人数据的商家的要求，并通过 IP 连接到支付处理器

听起来有人对您的已知 IP 地址进行了外部 ASV（“批准的扫描供应商”）扫描，并毫不奇怪地发现电缆调制解调器不合格。

我想在这里做点什么吗？这是否适用于我们？

是的，这适用于您，除此之外还有许多其他事情，所有这些都在上面链接的自我评估问卷中列出。如果您的其他办公系统（台式机、打印机等）也位于该电缆调制解调器后面的同一网络上，那么 SAQ 的要求也适用于这些系统。诸如修补和访问控制之类的东西。

目前，您需要继续与您的 ISP 合作。他们要么需要更新调制解调器，升级它，要么让它停止接受来自整个 Internet 的连接。

为您分解这些错误消息：

Part 2b-1. 38173 - SSL Certificate - Signature Verification Failed Vulnerability

该设备上可能有一个自签名证书，这对于需要 TLS 但不关心被随机用户信任的电缆调制解调器之类的东西很常见。（不过，PCI 关心，即使用户不关心）。

Part 2b-6. 38628 - SSL/TLS Server supports TLSv1.0 

当您今天访问安全网站时，您会看到最新的是 TLSv1.3，但是大多数网站仅支持 TLSv1.2 或 TLSv1.1。TLSv1.0 比较老旧，相对不安全，几年前 PCI 宣布它不能使用。

Part 2b-7. 38601 - SSL/TLS use of weak RC4(Arcfour) cipher (CVE-2013-2566, CVE-2015-2808)

TLS 可以从多种算法中进行选择；随着时间的推移，弱点被发现，个别算法因此而被淘汰。RC4 几年前就退役了。

由于您在物理上处理卡片，并将卡片数据通过网络发送到您的卡片处理器，因此您确实需要保护您的网络。除了为了让审计员从你的案件中解脱出来，如果有人将程序偷偷溜进你的网络，它可能会窃听网络的其余部分并窃取卡数据。

根据您的问题和评论，您网络中的某些计算机具有公开响应请求的 Web 服务器。

它很可能是电缆调制解调器/路由器本身，而 Web 服务器是远程管理控制台的一部分——它允许您或您的 ISP 更改设置，而无需在网络内部。不过，它也允许世界上任何其他人更改设置。

您收到的错误消息是SSL/TLS Server supports TLSv1.0，（以及其他几个错误），这意味着 Web 服务器正在使用几年前的安全设置。这就是你的卡处理器所抱怨的——那个网络服务器太旧了，而且有几个已知的漏洞。

但是，您最关键的问题是有一个可供公众使用的远程管理控制台。人们可以在闲暇时猜测登录信息并访问您的内部网络。当您关闭调制解调器中的远程管理时，您的卡处理器应该能够扫描您的网络并且根本看不到任何内容，并且您将恢复 PCI 合规性（假设您之前是合规的） .

TLDR：不要保护您的网络。 获得具有 P2PE（点对点加密）和支持它的收单机构的现代卡终端 - 例如 Square 或 PayPal Here 等新市场产品，其成本比您想象的要低。

这将 PCI-DSS 的责任从您转移到这些资产规模达 10 亿美元的金融公司身上，这些公司有能力大规模高效地处理它。去加密！

遵守 PCI-DSS 是一项艰巨的工作，除非……（跳过此内容）

PCI-DSS 是一项严肃的业务。大多数小型企业没有违规行为。但是，如果您确实存在违规行为（很可能是黑客长时间监视您的信用卡交易），您将需要支付极其痛苦的罚款（我听说的数字是 90%）让您的小企业破产的机会。

PCI 的范围是

• 你的卡终端
• 它所在的网络
• 可以访问该网络的 每台 PC，等等，设备
  • 以及桥接到该网络的 WiFi
  • 包括物联网：安全摄像头、Sense 电源监视器，以及您在云雀中购买并忘记的所有支持 WiFi 的愚蠢小工具
• 每个可以访问该网络的网络，以及
• 这些网络 上的每台电脑，呃，设备。
• 访客 WiFi 必须正确设置为不在此网络上

...除非你完全避开它，使用 P2PE

P2PE = 点对点加密 - 本质上是读卡器设备和收单机构之间的 VPN 隧道。

Square 的第一个读卡器是一个简单的磁头。显然，Square 应用程序在平板电脑中处理卡片数据。这将应用程序、手机/平板电脑、网络等置于PCI-DSS的范围内。

PayPal 这里在扫描仪 fob 内部放置了一个加密处理器。fob 本身通过P2PE与PayPal 服务器通信。PayPal 应用程序只是简单地传递数据并且无法读取它（其他人也不能）。

这不会将应用程序、电话和网络置于 PCI-DSS 的范围内。如果收单方保证fob是安全的，那么您所要做的就是确保您的 fob 没有被物理篡改。

如果您所有的信用卡活动都是通过 P2PE 独立设备进行的，那么您不需要 PCI-DSS 您的网络。

P2PE是唯一的出路。

但不幸的是，很多收购方（尤其是那些有流动推销员的，你知道的）还没有收到备忘录。他们迫使您花费数千美元来保护您的网络。为什么？

因为它们对变化具有超强的抵抗力（芯片卡，呵呵），而且 P2PE 需要大量的后端技术费用，而他们可以在没有这些技术的情况下度过难关。当然，作为零售商的你，需要购买一个新的 P2PE 阅读器，这对于在芯片阅读器上花了一大笔钱之后很难下咽。

你的收购者卖给你一辆过时的老爷车；该读者可以追溯到 2012 年，当时 P2PE 尚未流行。 看？

看看现代支付处理器，如Square或PayPal Here。乍一看，仅从百分比来看，它们看起来很糟糕，但没有其他费用，这反过来又对你有利——没有月费、批量费、交易费、等级，以及收购方采取的十几次左右的削减。我见过声称为 1.4% 但在考虑所有这些费用/陷阱后实际上为 4.1% 的账单。贝宝这里是 2.7%。真的。

现代收单机构的另一个好处是他们通过蓝牙与手机或平板电脑工作，使用平板电脑敲响销售电话并接受手指签名。这也意味着他们可以专门为平板电脑使用难以置信的廉价蜂窝数据网络访问（100 美元/年很容易获得），而不是为商业互联网服务付费。

他们可以在任何地方工作，所以如果你有流动的推销员，他们可以向客户刷 Visa-MC。与其为财务主管写下数字（一个完整的“另一个 PCI-DSS 噩梦”），更不用说拒绝收费了！

卡不存在 (CNP) 交易

使用现代键盘 P2PE 设备，例如PayPal Here 's big reader for CNP 交易。 不要在任何类型的平板电脑或 PC 上输入 CNP 事务，或者将 PC、网络、yadayada 放入 PCI-DSS。

或者，最小化或禁止CNP 交易，并将其转换为通过 PayPal 等（显然是 PayPal Here 附带的）结算。这样消费者就可以使用自己的设备与 PayPal 等进行交互，这使得 PCI-DSS 成为他们的问题。

从大局来看，问题在于联网设备面临很多安全威胁。其他答案为解决这次检测到的具体问题提供了很好的提示。

另一方面，如果您不想陷入混乱，您可以降级为使用模拟电话线且不接触互联网的独立支付终端。它可能无法避免所有可能的安全问题，尤其是从长远来看，但现在它会将您从SAQ B-IP 移回 SAQ B：

SAQ B：“……独立、拨出终端……”

SAQ B-IP：“...独立...具有 IP 连接的终端...”

使用模拟电话线转移到拨出终端的优点是：

• 它将您的调制解调器和其他连接互联网的设备排除在外
• 您不太可能受到新的 PCI 安全要求的影响
• 您不太可能受到未来基于互联网的信用卡安全漏洞的影响

缺点是：

• 您当前的付款处理器可能不支持它（询问他们）
• 它需要一条普通的模拟电话线，而不是 VOIP 或类似的东西

编辑：阅读哈珀推荐 P2PE的回答后，我现在认为，对于任何常规实体企业来说，按照其他答案的建议尝试解决自己的 SAQ B-IP 问题都是一个坏主意。试图跟上 SAQ B-IP 的步伐实在是太冒险了。常规实体企业应仅使用 SAQ B（拨出终端）或 SAQ P2PE-HW 下的解决方案：

SAQ P2PE-HW：“……终端……由经过验证的PCI SSC 列出的 P2PE 解决方案管理……”