我已经阅读了很多关于PCI DSS及其要求的内容,但是我不清楚组织是否需要担心PCI DSS合规性。 我们接受使用通过我们的办公室局域网连接到互联网的基本HiSpeed 6200 POSterminal的付款。 我们没有使用VLAN。 该terminal没有与任何支付处理应用程序集成,只是打印出纸张收据。 我是否需要担心PCI DSS合规性?
除了AWS公布的所有常见问题解答,文件和声明外,是否有任何一级商家实际上在AWS上实现 PCI合规? 我们正在评估将部分服务转移到EC2 / VPC,但是我们的审计人员说,当AWS的其他客户试图达到合规要求时,AWS并没有合作,只好去Rackspace。 他们遇到的问题是, AWS没有提供在AWS自己的PCI审计中评估的控制项目清单,使审计师无法标记哪些项目被AWS覆盖,哪些是客户的责任 AWS并未阐明如何评估虚拟机pipe理程序,以及执行哪些testing来确保租户隔离 更新:这个问题最初是在StackExchange上提出的,但被拒绝了,因为不适合该网站https://stackoverflow.com/questions/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws
我刚刚在https://www.ssllabs.com/上testing了我的网站,并且说SSLv2是不安全的,我应该将其与弱密码套件一起禁用。 我如何禁用? 我尝试了以下,但它不工作。 通过ftp访问/etc/httpd/conf.d/ssl.conf 。 添加 SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT 通过putty连接到服务器,并提供service httpd restart命令。 但它仍然显示在网站上不安全。 我怎样才能解决它? 我的服务器是Plesk 10.3.1 CentOS。 在同一台服务器上有3-4个站点。
有没有办法在Windows中检查说安全公告MS**-***或CVE-****-*****已被修补? 比如类似于RedHat的rpm -q –changelog service Windows 2008 R2 SP1
我有一个NGINX作为我们网站的反向代理,工作得很好。 对于那些需要ssl的站点,我跟着raymii.org来确保尽可能强大的SSLLabs评分。 其中一个站点需要符合PCI DSS标准,但基于最新的TrustWave扫描,现在由于启用了TLS 1.0而失败。 在nginx.conf的http层次上,我有: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 对于我具有的特定服务器: ssl_protocols TLSv1.1 TLSv1.2; 我已经改变了密码,把事情从http级别移到了每个ssl站点服务器上,但不pipe什么时候运行: openssl s_client -connect www.example.com:443 -tls1 我获得了TLS 1.0的有效连接。 SSLLabs将网站的nginx设置为A,但是使用TLS 1.0,所以我相信我的设置的其余部分是正确的,它不会closuresTLS 1.0。 关于我可能会错过的想法? openssl version -a OpenSSL 1.0.1f 6 Jan 2014 built on: Thu Jun 11 15:28:12 UTC 2015 platform: debian-amd64 nginx -v nginx version: nginx/1.8.0
我们目前正在处理但不保存信用卡数据。 我们使用authorize.net API通过自行开发的应用程序授权这些卡。 如果可能,我们希望将影响我们的服务器的所有PCI要求(例如安装反病毒)限制在一个单独的独立环境中。 在遵守合规的情况下,可以做到吗? 如果是这样,什么构成足够的隔离? 如果不是的话,是否有某个地方明确界定了范围?
我们的客户之一是一级PCI公司,他们的审计师就我们的系统pipe理员和我们的访问权限提出了build议。 我们pipe理他们完全基于Windows的大约700个台式机/ 80个服务器/ 10个域控制器的基础设施。 他们build议我们进入一个有三个独立账户的系统: DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC WS是只login到工作站的帐户,是工作站上的本地pipe理员 其中SRV是仅login到非DC服务器的帐户,是服务器上的本地pipe理员 其中DC是仅login到域控制器的帐户,实际上是域pipe理员帐户 然后,策略将阻止从错误的帐户login到错误的系统types(包括删除非直stream机器上域pipe理员帐户的交互式login) 这是为了防止受感染的工作站可能公开域pipe理员login标记并将其重新用于域控制器的情况。 这似乎不仅对我们的日常操作是非常干扰性的政策,而且还有相当多的工作要解决什么是相对不太可能的攻击/利用(这是我的理解,也许我误解了这种利用的可行性) 。 我有兴趣听到其他pipe理员的意见,尤其是那些参与PCI注册公司的人员,并且有类似的build议。 你有什么关于pipe理员login的政策。 为了logging,我们目前有一个我们通常使用的域用户帐户,当我们需要额外的权限时,我们也会提升域pipe理员帐户。 诚实地说,我们都有些懒惰,通常只是使用域pipe理帐户进行日常操作,尽pipe这在技术上违背了我们公司的政策(我相信你明白了!)。
在最近一次审计中,我们被要求在运行linux(bind9)的DNS服务器上安装防病毒软件。 在渗透testing期间服务器没有受到损害,但是这是给出的build议之一。 通常会安装Linux防病毒软件来扫描用户的stream量,那么在dns服务器上安装防病毒软件的目标是什么? 你对这个build议有什么看法? 你真的在你的linux服务器上运行杀毒软件吗? 如果是这样,你会推荐或者你正在使用哪种杀毒软件?
我们的信用卡处理器最近通知我们,截至2016年6月30日,我们将需要禁用TLS 1.0以保持PCI标准 。 我试图通过在Windows Server 2008 R2机器上禁用TLS 1.0来主动发现重启后立即发现我完全无法通过远程桌面协议(RDP)连接到它。 经过一番研究,看来RDP只支持TLS 1.0(见这里或这里 ),或者至less不清楚如何通过TLS 1.1或TLS 1.2启用RDP。 有没有人知道在Windows Server 2008 R2上禁用TLS 1.0而不破坏RDP的方法? Microsoft是否计划通过TLS 1.1或TLS 1.2支持RDP? 注意:似乎有办法通过configuration服务器来使用RDP安全层,但禁用networking级身份validation ,这看起来像交易另一个邪恶。 更新1 :微软现在已经解决了这个问题。 有关服务器更新,请参阅下面的答案 。 更新2 :Microsoft发布了有关SQL Server支持PCI DSS 3.1的教程。
我们服务器的安全审核员在两周内要求: 所有服务器上所有用户帐户的当前用户名和纯文本密码的列表 过去六个月的所有密码更改清单,再次以纯文本forms 过去六个月中“从远程设备添加到服务器的每个文件”列表 任何SSH密钥的公钥和私钥 每次用户更改密码时发送给他的电子邮件,其中包含明文密码 我们使用LDAP身份validation运行Red Hat Linux 5/6和CentOS 5。 据我所知,该名单上的所有内容都不可能或难以得到,但是如果我没有提供这些信息,我们将面临失去进入我们的支付平台,并在过渡时期损失收入,因为我们转向新的服务。 任何build议如何解决或伪造这些信息? 我能想到得到所有纯文本密码的唯一方法是让每个人重置密码并记下它们的设置。 这并不能解决过去六个月密码更改的问题,因为我无法追溯logging这类内容,logging所有远程文件也是如此。 获取所有公钥和私钥都是可能的(虽然令人讨厌),因为我们只有几个用户和计算机。 除非我错过了一个更简单的方法来做到这一点? 我多次向他解释说,他所要求的事情是不可能的。 针对我的疑虑,他回复了以下电子邮件: 我在安全审计方面有十多年的经验,并且对redhat安全方法有了充分的了解,所以我build议你检查一下你是否有可能做的事情。 你说没有公司可能有这方面的信息,但是我已经做了数以百计的审计,这些信息一应俱全。 所有[通用信用卡处理提供商]客户都必须符合我们的新安全政策,此审计旨在确保这些政策已正确实施。 *“新安全政策”是在我们审计前两周引入的,在政策变更之前不需要六个月的历史logging。 总之,我需要; 一种方法来“伪造”六个月的密码更改,并使其看起来有效 一种方法来“伪造”六个月的入站文件传输 一个简单的方法来收集所有使用的SSH公钥和私钥 如果我们的安全审计失败,我们将无法使用我们的卡处理平台(这是我们系统的一个关键部分),而在其他地方需要花费两个星期的时间。 我怎么拧? 更新1(星期六23日) 感谢所有的答复,这让我很欣慰,知道这不是标准的做法。 目前我正在计划我的电子邮件回复他解释情况。 正如你们许多人所指出的那样,我们必须遵守明确规定我们不应该有任何方式访问明文密码的PCI。 我写完后会发邮件。 不幸的是,我不认为他只是在考验我们。 这些东西现在都在公司的官方安全策略中。 不过,我已经把车轮开动起来,暂时离开它们进入PayPal。 更新2(星期六23日) 这是我草拟的电子邮件,任何build议添加/删除/更改的东西? 嗨[名字], 不幸的是,我们没有办法为您提供所需的一些信息,主要是纯文本密码,密码历史logging,SSH密钥和远程文件日志。 这些技术不仅在技术上是不可能的,而且能够提供这些信息既是违反PCI标准的,也是违反数据保护法的。 为了引用PCI要求, 8.4使用强大的encryption技术,在所有系统组件的传输和存储期间渲染所有密码不可读。 我可以为您提供我们的系统上使用的用户名和散列密码的列表,SSH公钥和授权主机文件的副本(这将为您提供足够的信息来确定唯一用户可以连接到我们的服务器的数量,以及encryption使用的方法),关于我们的密码安全要求和我们的LDAP服务器的信息,但是这些信息可能不会被取走。 我强烈build议您审核您的审核要求,因为目前我们无法通过此审核,同时仍然遵守PCI和数据保护法案。 问候, [我] 我将在公司的首席技术官和我们的客户经理工作,我希望首席技术官可以确认这些信息不可用。 我也将联系PCI安全标准委员会来解释他对我们的要求。 更新3(26日) 以下是我们交换的一些电子邮件。 RE:我的第一封电子邮件; 正如所解释的,这些信息应该在任何维护良好的系统上方便地提供给任何有能力的pipe理员 您无法提供这些信息会导致我相信您已经意识到您的系统中存在安全漏洞,并且无法准备好揭示这些漏洞。 […]