TLS достаточно безопасно? Нужна скользящая хеш в платежном приложении PA-DSS?

Я - инженер-программист, и в настоящее время я работаю над другим платежным приложением (моим третьим), которое должно соответствовать требованиям PCI PA-DSS. Я пересматриваю документацию PA-DSS, и мне интересно, если в прошлом я слишком много работал над безопасностью приложения, когда я мог бы использовать TLS и user/pass. Итак, мои вопросы при реализации защищенного приложения PA-DSS:

1. Для безопасности аутентификации и связи достаточно ли TLS + user/pass?

2. Какая часть (и) стандарта PA-DSS оправдывает необходимость реализации хеширования сообщений и циклического хеширования между вызовами веб-методов? TLS реализует надежные сообщения, но не поддерживает хэширование и постоянные вызовы между сообщениями. Будет ли реализация скользящего хэша иметь какое-либо значение (с точки зрения PA-DSS)?

3. Если приложение обработки платежей хранит информацию PII и обслуживает разные компании (это означает, что компания A и компания B могут иметь учетные записи в таком приложении), не существует конкретного требования, согласно которому информация PII не может храниться в одной и той же БД, но в прошлом PA-QSA настаивают на том, чтобы это было проблемой. Вопрос: действительно ли это необходимо? Я не могу думать, что Authorize.NET, компания с тысячами клиентов и процессоров, имеет разные базы данных для хранения кредитных карт, обработанных через каждую из своих компаний-клиентов.

Заранее спасибо!

Обновление № 1:

• Предположим, что все страницы и веб-службы, как в DMZ, так и в Зоне безопасности, будут иметь HTTPS для всех каналов связи, страниц и услуг.

• На вопросе № 3 речь идет не о месте или безопасности хранения конфиденциальной информации. Вопрос в большей степени направлен на то, чтобы подвергнуть сомнению возможность совместного использования конфиденциальной информации из разных источников (например, таких как AT&T и Verizon) в одной базе данных.