目前,我们正在将现有的Web服务设置为符合PCI-DSS标准,而且我们对遵从性要求也有点不满。 总之,我们需要确保信用卡号码永远不会以纯文本的forms存储在任何地方。 我们的CC提交形成了关于SSL的所有工作,我们将信息存储在encryption的字段中,除了IIS日志之外,一切都是合规的。 我们的审计团队已经注意到,如果您在search框中input任何东西,我们提供网站上的其他function,则查询条件将被logging到IIS日志中。 如果用户将自己的信用卡号码放入此search框中,则该号码将以纯文本格式logging到IIS中。 有没有人处理这个问题? 我在网上找不到解决scheme,特别是考虑到PCI DSS中的其他要求,我们尽可能提供尽可能全面的审计logging。 谢谢
PCI DSS合规规则规定,如果我们使用任何计算机通过基于Web的虚拟terminal进行卡支付,那么这些PC必须与ITnetworking的其余部分隔离(否则整个ITnetworking将在PCI合规范围内) 。 我们需要呼叫中心的多个人使用虚拟terminal通过电话进行客户卡支付。 麻烦的是,那些人还需要访问ITnetworking的其余部分,以完成其余的工作职能。 有没有实际的方法来实现呢? 我所能想到的是要么将PCI合规的范围扩展到整个networking(我想要避免的),要么给每个人提供两台PC–一个用于工作的主要部分,另一个用于卡通过虚拟terminal支付。 有没有人有实施这个实践经验?
我正在尝试修复漏洞扫描器发现的SSL / TLS漏洞。 到目前为止,我所见过的所有方法都涉及到registry中的SCHANNEL更改。 SCHANNELregistry更改不幸的是系统范围的变化,不能被限制到一个特定的端口。 我无法执行SCHANNELregistry更改,因为这会影响到只有端口3389(RDP)时才运行的其他服务。 是否有一种方法可以指定哪些服务SCHANNEL限制应该适用? 或以其他限制方法进行,只要是以服务为基础,而不是以批发的方式进行。
有没有在Google Compute Platform上为访问项目的帐户设置密码策略的方法? 具体来说,我需要满足PCI-DSS的要求,其中包括pam通常在Ubuntu上处理的东西。 这些措施包括每隔几个月到期的密码,最低密码强度,以及防止重复使用密码。 为了清楚起见,我在询问有权访问机器的开发人员和pipe理员,而不是运行在云实例上的应用程序。
经过PCI扫描发现guestbook.cgi存在风险,我想禁用WHM安装的cgi-scripts(v11,在CentOS5上运行)。 我希望尽可能使用WHM Web界面来“正确地”执行此操作(因此,此configuration可以保留更新并且易于复制)。 我迄今为止所尝试的东西都不令人满意: chmod 0 /usr/local/cpanel/base/cgi-sys/guestbook.cgi chattr +i /usr/local/cpanel/base/cgi/guestbook.cgi =在访问example.com/cgi-sys/guestbook.cgi时引发500内部服务器错误,并可能干扰自动更新 WHM | 包| functionpipe理器| 编辑function列表 禁用CGI中心 禁用的电子邮件脚本(cgiemail,formmail) 禁用简单的留言 已禁用高级访客 =访问example.com/cgi-sys/guestbook.cgi时没有变化(HTTP200没有给出用户名) 我searchforums.cpanel.net,这通常是相当不错,但我找不到一个没有不良副作用的答案。
我们有一个Cisco RV-042小型企业路由器,我们的PCI扫描标记为CVE-2014-0224(CCS Injection / Man-in-the-middle)。 这似乎是另一个OpenSSL漏洞。 我们有最新的固件(2014年4月)安装,但不能永远等待思科修复。 所以我有几个问题: 1)有一个选项来禁用路由器上的SSL。 有谁知道这是什么效果? 这只会影响networkingpipe理员,或者VPN也会受到影响? 2)思科似乎已经在支持他们的产品方面陷入悬崖峭壁。 你有什么替代scheme可以提供定期的固件更新(特别是PCI /安全相关的问题),并且对他们的产品有很好的支持?
PCI合规性要求每年轮换一次密钥。 我不断遇到的“密钥轮换”的定义是解密你的数据,然后用一个新的密钥重新encryption。 真? 每个人都每年都解密/encryption所有的encryption数据? 目前,我已经有3个服务器上有16个数据库,每个数据库中有多个表 – 这只会继续增长。 手动这样做会带来巨大的错误机会,导致我的数据无法读取。 是的,我可以写些东西来做这个…但是这真的是每个人都在做的事情吗? 所以问题是你是手动处理,还是你可以推荐一个负担得起的(主观,我知道)第三方工具? 我已经看到了一些关于“改变”层次结构中更高级别键的build议。 我们使用推荐的数据库主密钥层次结构来encryption一个证书,这个证书encryption了一个对数据进行encryption的对称密钥。 首先,这似乎不符合“旋转钥匙”的定义。 其次,即使我更改了DMK或证书,也不能阻止用相同的对称密钥来解密数据,而这个对称密钥可能是坏人被盗/破解的。
我在工作中遇到了一个当前的问题(我是IT经理),用户使用一个实际上是某个人的帐户login到我们的一些系统。 我们必须符合PCI(你应该注意到这一点)。 大多数内部系统我已经sorting(但build议总是欢迎这一点)。 目前的问题涉及一个包含一些客户信息的external email campaign系统,用户正在使用一个实际为一个人devise的帐户。 我相信每个用户都应该使用自己的用户名和密码login,不pipe成本如何。 我需要一些信息来支持我,并想知道如何以其他方式login这种系统是合法的? 我会认为这不符合PCI或合法?
在过去,我已经通过了一个Windows Server 2008 Web服务器上的服务器强化清单,以符合PCI规范。 基本上,有很多组策略,registry和其他设置需要符合行业安全,encryption等最佳实践。在查看某个特定部分时,它指出了以下内容: 系统应configuration为禁止IP源路由,ICMPredirect和Internet路由器发现协议。 此外,如果检测到SYN溢出,则将系统configuration为允许连接更早超时。 在过去,我可以使用本地计算机策略 – >计算机configuration – > Windows设置 – >安全设置 – >本地策略 – >安全选项下以“MSS:”开头的组策略设置来设置这些限制 在回顾我的笔记后,有一个文件可以在%SystemRoot%\ inf中命名为sceregvl.inf,但我没有足够的细节来重现该方法。 如何在Windows Server 2012 R2上查看和编辑这些MSS组策略设置?
Virtualmin有多安全? 它与cPanel或其他虚拟主机控制面板相比如何? 将使用Virtualmin阻止我符合PCI?