我在我的Apache2configuration上更新了我的ssl.conf文件以使用以下SSLCipherSuite SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:!ADH 然而PCI扫描似乎检测到WEAK和MEDIUM密码仍然被启用。 但是,我已经重新启动Apache,但它没有任何效果。 我希望能够探测服务器,看看它允许哪些密码,而不必等到每次进行更改时都要运行PCI扫描。 我怎样才能做到这一点?
零售行业的客户有一个连接到POS服务器的销售点(POS)terminal的networking。 另外,非销售区域的大多数Windows工作站也连接到同一台服务器。 这是因为POS软件只是为公司(库存,采购,会计等)运行一切的大型遗留应用程序的一个模块。 根据我们的PCI审核员(QSA),任何直接连接到持卡人数据环境的系统都被视为范围(不仅仅是存储,处理或传输CC数据的系统)。 问题是如何限制范围,以便数百个与CC数据无关的Windows站点不在PCI DSS的范围内。 此图显示POS和Windows工作站当前如何连接到服务器: 此图显示了它们如何与实施的Bastion主机连接: Windows WS使用Putty或类似的SSH使用基于密码的身份validation的Bastion主机。 Bastion主机上的login脚本或自定义shell使用基于密钥的身份validation自动SSH连接到POS服务器,并且用户透明地进入业务应用程序(用户永远不会获得shell或能力分支到shell)。 但是,在提高安全性方面真正实现了什么呢? 没有堡垒主机:如果Windows WS受到威胁,并且他们获得POS服务器的login密码,他们可以通过SSH连接到它,但是他们仍然只能访问业务应用程序而不能访问shell。 使用堡垒主机:如果Windows WS遭到破坏,他们可以获得login密码给堡垒服务器,他们可以通过SSH连接,但是他们仍然只能进入商业应用程序,无法访问shell。 在这种情况下,我看不到Bastion主机提供了很多额外的安全性。 反馈和/或build议,将不胜感激。
我尝试configurationPCI REQ 10.5.5“使用文件完整性监控或更改日志中的检测软件” 为此使用auditd,规则“auditctl -w / tmp / testfile -p war”完美地工作。 但是,如果我尝试使用标准输出redirect文件,如“回声”嗨“>> / tmp / testfile”行附加,但在audit.log中没有任何更改。 有谁知道如何使用auditdlogging文件中的所有变化?
我正在寻找数据中心需要Web应用程序的不同解决scheme。 以下是我的要求。 我首先想要一个解决scheme,它可以在一个盒子里提供,尽可能简单 边缘防火墙(因为我们只有Web应用程序,需要防火墙连接到世界没有传统的防火墙像思科asa) 负载平衡器 可以在世界,dmz和内部之间创buildDMZ和防火墙stream量 可以处理SSL Web应用程序防火墙(符合PCI-Dss) 反向代理 VPN(SSL) – 这只是我们进入networking的一个点,所以需要通过VPN完全访问 我们的数据中心将有两台冗余的机器供上述解决scheme,然后是应用服务器,如Web,应用程序和数据库服务器。 没有路由器,没有其他防火墙。 我知道有一些公司提供负载平衡器,防火墙,VPN解决scheme,但有没有提供单一解决scheme? 如果已经使用过你的经验如何?
我是PCI的新手,我们刚刚为Trustkeeper PCI Scan付费,以下是一些结果(只是漏洞名称): 数据库可访问性 SSLv2支持 很多BIND(补丁)相关的漏洞 很多OpenSSL(补丁)相关的漏洞 很多Apache Tomcat(补丁)相关的漏洞 HTTP服务器用户名探测 我们正在为VPS服务付费,而我的问题是:哪些漏洞可以/应该/必须由我们修复(我们如何解决这些漏洞?)以及托pipe服务提供商的哪些漏洞? 提前致谢!
使用Stripe处理信用卡付款并将客户付款和信息存储在mysql数据库中。 只存储事务的id和客户端ID。 Stripe承担了PCI合规性问题的主要工作。 目前我们正在履行PCI合规性,通过服务于SSL的内容,并使用条纹安全stripe.js连接。 我们一直孤立我们的付款到一个主机的数据库和支付网站框。 我的问题是,如果我移动到远程托pipe的数据库,如亚马逊RDS,并继续承载这个服务器上的网站或托pipePaaS,这是否会改变pci遵守,如果我不存储和信用卡信息,只有指针条纹logging? 任何我需要考虑在这里,或者我可以继续使用PHP的mysqli连接,因为我现在只是使用远程连接string,而不是本地主机? 会阻止所有的IP,除了从Web访问的Web主机。 仍然会通过SSL提供站点内容,并使用stripe.js。 只有更改将分开数据库和不同的服务器上的网站。
我们将不得不通过我们正在开发的Web应用程序的PCI 3.1审计。 这是在Debian上运行的NGINX的Amazon EC2。 我们正在与赛门铁克联系以获取证书,我们对使用EV one和Wildcard的Secure Site Pro特别感兴趣(我们将有一台具有dynamic子域名的服务器,这就是为什么我们要考虑通配符) 我只是想确保我不会花费数千美元,并且发现这些对于PCI 3.1来说是不够的,或者NGINX和Debian的组合不会为这些types的证书工作。 有没有人有尝试成为符合PCI-DSS 3.1的经验,可以提供一些build议,我们应该得到哪些SSL证书?
几个月以来,在为客户build立网站时,我遇到几万亿个“网站安全扫描器”,据称这些网站安全扫描器被各种共享networking主机认可/批准,这些主机声称运行XSS,SQL注入,垃圾邮件措施和其他检查如果您希望每年进行一次以上扫描的计划,则大约需要300美元左右。 我不是在谈论像Comodo,McAfee,赛门铁克等公司提供的PCI合规性扫描,通常每年花费数千美元,而是这些厂商似乎正在通过提供经济实惠的替代品到PCI的fims。 尽pipe我可以提到一些公司,但是我知道列举太多,所以我的主要问题是:如果你没有做电子商务,这些“经济实惠”的扫描是不是一个PCI扫描仪的好select。 那么如果你在一个共享/pipe理计划 – 不应该由主人处理这个呢? 至于拥有电子商务的网站,由于一些商家处理器要求自己的PCI供应商,甚至支付PCI扫描的费用,是否有必要进行额外的扫描? 多年来,我一直在想,非常感谢大家的任何见解。
我们通过互联网连接comupter的信用卡,我们必须通过PCI合规性networking扫描。 当我运行networking扫描,我有以下错误。 我该如何解决这个错误。 任何帮助赞赏。 运行易受攻击的HTTP服务 HTTP请求 http://xx.xxx.xxx.xxx:8080/ HTTP响应代码是一个预期的401 1: Basic realm="WEB Remote Viewer"
从PCI-DSS的angular度来看,使用SSH密钥进行无密码身份validation足够安全吗? TIA,维塔利