คำถามติดแท็ก pci-dss

30
ผู้ตรวจสอบความปลอดภัยของเราเป็นคนงี่เง่า ฉันจะให้ข้อมูลที่ต้องการได้อย่างไร
ผู้ตรวจสอบความปลอดภัยสำหรับเซิร์ฟเวอร์ของเราได้เรียกร้องสิ่งต่อไปนี้ภายในสองสัปดาห์: รายการชื่อผู้ใช้ปัจจุบันและรหัสผ่านข้อความล้วนสำหรับบัญชีผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ทั้งหมด รายการการเปลี่ยนแปลงรหัสผ่านทั้งหมดสำหรับหกเดือนที่ผ่านมาอีกครั้งในข้อความธรรมดา รายการ "ทุกไฟล์ที่เพิ่มไปยังเซิร์ฟเวอร์จากอุปกรณ์ระยะไกล" ในช่วงหกเดือนที่ผ่านมา พับลิกและไพรเวตคีย์ของคีย์ SSH ใด ๆ อีเมลที่ส่งถึงเขาทุกครั้งที่ผู้ใช้เปลี่ยนรหัสผ่านประกอบด้วยรหัสผ่านข้อความล้วน เราใช้กล่อง Red Hat Linux 5/6 และ CentOS 5 พร้อมการตรวจสอบสิทธิ์ LDAP เท่าที่ฉันทราบทุกอย่างในรายการนั้นเป็นไปไม่ได้หรือยากที่จะได้รับอย่างเหลือเชื่อ แต่ถ้าฉันไม่ให้ข้อมูลนี้เราต้องเผชิญกับการสูญเสียการเข้าถึงแพลตฟอร์มการชำระเงินของเราและสูญเสียรายได้ในช่วงระยะเวลาการเปลี่ยนแปลง บริการใหม่ คำแนะนำใด ๆ สำหรับฉันจะแก้ไขหรือปลอมข้อมูลนี้ได้อย่างไร วิธีเดียวที่ฉันคิดว่าจะได้รับรหัสผ่านแบบข้อความล้วนคือให้ทุกคนรีเซ็ตรหัสผ่านและจดบันทึกสิ่งที่พวกเขาตั้งไว้ ไม่ได้แก้ปัญหาการเปลี่ยนแปลงรหัสผ่านหกเดือนที่ผ่านมาเพราะฉันไม่สามารถบันทึกสิ่งต่าง ๆ ย้อนหลังแบบเดียวกันได้เช่นเดียวกันสำหรับการบันทึกไฟล์ระยะไกลทั้งหมด การรับคีย์ SSH สาธารณะและส่วนตัวทั้งหมดเป็นไปได้ (แม้ว่าจะน่ารำคาญ) เนื่องจากเรามีผู้ใช้และคอมพิวเตอร์เพียงไม่กี่คน หากฉันไม่ได้ทำวิธีนี้ง่ายกว่านี้อีก ฉันอธิบายให้เขาหลายครั้งว่าสิ่งที่เขาขอนั้นเป็นไปไม่ได้ เพื่อตอบข้อกังวลของฉันเขาตอบกลับด้วยอีเมลต่อไปนี้: ฉันมีประสบการณ์มากกว่า 10 ปีในการตรวจสอบความปลอดภัยและเข้าใจวิธีการรักษาความปลอดภัย redhat ดังนั้นฉันขอแนะนำให้คุณตรวจสอบข้อเท็จจริงของคุณเกี่ยวกับสิ่งที่เป็นและเป็นไปไม่ได้ คุณบอกว่าไม่มี บริษัท ใดอาจมีข้อมูลนี้ แต่ฉันได้ทำการตรวจสอบหลายร้อยครั้งซึ่งข้อมูลนี้พร้อมใช้งานแล้ว ลูกค้า [ผู้ให้บริการประมวลผลบัตรเครดิตทั่วไป] …
2307 security  pci-dss 

9
ฉันจะปิดใช้งาน TLS 1.0 โดยไม่ทำลาย RDP ได้อย่างไร
ประมวลผลบัตรเครดิตของเราเพิ่งแจ้งให้เราว่าเป็นของ 30 มิถุนายน 2016 เราจะต้องปิดการใช้งาน TLS 1.0 จะยังคงมาตรฐาน PCI ฉันพยายามเป็นเชิงรุกโดยการปิดการใช้งาน TLS 1.0 บนเครื่อง Windows Server 2008 R2 ของเราเท่านั้นที่จะพบว่าทันทีหลังจากรีบูตฉันไม่สามารถเชื่อมต่อกับมันผ่านทาง Remote Desktop Protocol (RDP) ได้อย่างสมบูรณ์ หลังจากการวิจัยบางอย่างปรากฏว่า RDP รองรับ TLS 1.0 เท่านั้น (ดูที่นี่หรือที่นี่ ) หรืออย่างน้อยก็ไม่ชัดเจนว่าจะเปิดใช้งาน RDP ผ่าน TLS 1.1 หรือ TLS 1.2 ได้อย่างไร ใครรู้วิธีปิดใช้งาน TLS 1.0 บน Windows Server 2008 R2 โดยไม่ทำลาย RDP …

10
เรียกใช้ซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ linux DNS มันสมเหตุสมผลหรือไม่
ในระหว่างการตรวจสอบล่าสุดเราถูกขอให้ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ DNS ของเราที่ใช้งาน linux (bind9) เซิร์ฟเวอร์ไม่ได้ถูกบุกรุกระหว่างการทดสอบการเจาะระบบ แต่นี่เป็นหนึ่งในคำแนะนำที่ได้รับ โดยปกติจะติดตั้งซอฟต์แวร์ป้องกันไวรัส linux เพื่อสแกนทราฟฟิกที่ผู้ใช้กำหนดดังนั้นเป้าหมายในการติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์ dns คืออะไร คุณมีความคิดเห็นอย่างไรกับข้อเสนอนี้? คุณใช้ซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ linux ของคุณหรือไม่ ถ้าเป็นเช่นนั้นคุณควรแนะนำซอฟต์แวร์ป้องกันไวรัสชนิดใดหรือกำลังใช้งานอยู่

5
ฉันจะปิดการใช้งาน TLS 1.0 และ 1.1 ใน apache ได้อย่างไร
ไม่มีใครรู้ว่าทำไมฉันไม่สามารถปิดใช้งาน tls 1.0 และ tls1.1 ได้ด้วยการอัปเดตการกำหนดค่านี้ SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 หลังจากทำสิ่งนี้ฉันรีโหลด apache ฉันทำการสแกน ssl โดยใช้ ssllabs หรือเครื่องมือ comodo ssl และมันยังบอกว่ารองรับ tls 1.1 และ 1.0 ฉันต้องการลบสิ่งเหล่านี้หรือไม่

3
ปิดใช้งาน TLS 1.0 ใน NGINX
ฉันมี NGINX ซึ่งทำหน้าที่เป็นพร็อกซีย้อนกลับสำหรับไซต์ของเราและทำงานได้ดีมาก สำหรับเว็บไซต์ที่ต้องการ ssl ฉันติดตามraymii.orgเพื่อให้แน่ใจว่าได้คะแนน SSLLabs ที่แข็งแกร่งที่สุดเท่าที่จะทำได้ หนึ่งในไซต์ต้องเป็นไปตามมาตรฐาน PCI DSS แต่จากการสแกน TrustWave ล่าสุดนั้นล้มเหลวเนื่องจาก TLS 1.0 เปิดใช้งานอยู่ ในระดับ http ใน nginx.conf ฉันมี: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; สำหรับเซิร์ฟเวอร์เฉพาะฉันมี: ssl_protocols TLSv1.1 TLSv1.2; ฉันเปลี่ยน ciphers ย้ายสิ่งต่าง ๆ ออกจากระดับ http และไปยังเซิร์ฟเวอร์ไซต์ ssl แต่ละตัว แต่ไม่ว่าจะเกิดอะไรขึ้นเมื่อฉันเรียกใช้: openssl s_client -connect www.example.com:443 -tls1 ฉันได้รับการเชื่อมต่อที่ถูกต้องสำหรับ TLS 1.0 SSLLabs ทำให้การตั้งค่า …
22 nginx  tls  pci-dss 

1
นโยบายบัญชีผู้ดูแลโดเมน (หลังการตรวจสอบ PCI)
หนึ่งในลูกค้าของเราคือ บริษัท Tier 1 PCI และผู้ตรวจสอบได้ให้คำแนะนำเกี่ยวกับเราในฐานะผู้ดูแลระบบและสิทธิ์การเข้าถึงของเรา เราจัดการโครงสร้างพื้นฐานที่ใช้ Windows ทั้งหมดของพวกเขาโดยประมาณ 700 เดสก์ท็อป / 80 เซิร์ฟเวอร์ / 10 ตัวควบคุมโดเมน พวกเขาแนะนำว่าเราย้ายไปยังระบบที่เรามีบัญชีแยกกันสามบัญชี: DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC ที่ไหน WSเป็นบัญชีที่ล็อกออนเข้าสู่เวิร์กสเตชันเท่านั้นเป็นผู้ดูแลท้องถิ่นบนเวิร์กสเตชัน ที่ไหน SRVเป็นบัญชีที่ล็อกออนเข้าสู่ Non DC Servers เท่านั้นคือ Local Administrator บนเซิร์ฟเวอร์ ที่ไหน DCเป็นบัญชีที่เข้าสู่ระบบของ Domain Controllers โดยเฉพาะบัญชีผู้ดูแลโดเมน มีการใช้นโยบายเพื่อป้องกันการเข้าสู่ระบบผิดประเภทจากบัญชีที่ไม่ถูกต้อง (รวมถึงการลบการเข้าสู่ระบบแบบโต้ตอบสำหรับบัญชีผู้ดูแลโดเมนบนเครื่องที่ไม่ใช่ DC) นี่คือเพื่อป้องกันสถานการณ์ที่เวิร์กสเตชันที่ถูกบุกรุกสามารถเปิดเผยโทเค็นการเข้าสู่ระบบของผู้ดูแลระบบโดเมนและใช้งานซ้ำกับตัวควบคุมโดเมน สิ่งนี้ดูเหมือนจะไม่เพียง แต่เป็นนโยบายที่ล่วงล้ำมากสำหรับการดำเนินงานในแต่ละวันของเรา แต่ยังมีงานจำนวนมากเพื่อจัดการกับสิ่งที่เป็นการโจมตี / การใช้ประโยชน์ที่ไม่น่าจะเกิดขึ้น (นี่คือความเข้าใจของฉัน . ฉันสนใจที่จะรับฟังมุมมองของผู้ดูแลระบบคนอื่น ๆ …

2
วิธีแยกมาตรฐาน PCI
ขณะนี้เรากำลังดำเนินการ แต่อย่าเก็บข้อมูลบัตรเครดิต เราอนุญาตบัตรผ่านแอปพลิเคชันที่พัฒนาขึ้นเองโดยใช้ authorize.net API หากเป็นไปได้เราต้องการ จำกัด ข้อกำหนดทั้งหมดของ PCI ที่มีผลต่อเซิร์ฟเวอร์ของเรา(เช่นการติดตั้งโปรแกรมป้องกันไวรัส) ในสภาพแวดล้อมที่แยกต่างหาก เป็นไปได้ที่จะทำในขณะที่ยังคงปฏิบัติตาม? ถ้าเป็นเช่นนั้นสิ่งที่จะแยกความพอเพียง? ถ้าไม่มีขอบเขตที่กำหนดไว้ชัดเจนหรือไม่
12 security  pci-dss 

1
มีใครได้รับการปฏิบัติตาม PCI ระดับ 1 ใน AWS หรือไม่
เอกสารคำถามและคำแถลงทั้งหมดที่เผยแพร่โดย AWS นั้นผู้ค้าระดับ 1 ใด ๆได้รับการปฏิบัติตาม PCI บน AWS หรือไม่ เรากำลังประเมินการย้ายบริการบางส่วนของเราไปยัง EC2 / VPC แต่ผู้ตรวจสอบของเรากำลังบอกว่า AWS ไม่ได้ให้ความร่วมมือเมื่อลูกค้ารายอื่นของพวกเขาพยายามที่จะปฏิบัติตามกฎระเบียบและต้องไปที่ Rackspace แทน ปัญหาที่พวกเขาพบคือ AWS ไม่ได้จัดทำรายการการควบคุมแยกการประเมินในการตรวจสอบ PCI ของ AWS ทำให้ผู้ตรวจสอบไม่สามารถทำเครื่องหมายรายการที่ AWS ครอบคลุมและเป็นความรับผิดชอบของลูกค้า AWS ไม่ได้อธิบายวิธีการประเมินไฮเปอร์ไวเซอร์และการทดสอบใดที่ดำเนินการเพื่อให้แน่ใจว่ามีการแยกผู้เช่า อัปเดต:คำถามนี้ถูกถามครั้งแรกใน StackExchange แต่ถูกโหวตว่าไม่เหมาะสมสำหรับไซต์นั้น/programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.