Pytania otagowane jako pci-dss

Standard Payment Card Industry Data Security Standard (PCI DSS) to światowy standard bezpieczeństwa, który został utworzony przy wsparciu firm obsługujących karty kredytowe w celu dostosowania ich standardów bezpieczeństwa.

30
Nasz audytor bezpieczeństwa jest idiotą. Jak przekazać mu informacje, których chce?
Audytor bezpieczeństwa naszych serwerów zażądał w ciągu dwóch tygodni: Lista bieżących nazw użytkowników i haseł tekstowych dla wszystkich kont użytkowników na wszystkich serwerach Lista wszystkich zmian haseł z ostatnich sześciu miesięcy, również w postaci zwykłego tekstu Lista „każdego pliku dodanego do serwera ze zdalnych urządzeń” w ciągu ostatnich sześciu miesięcy …
2306 security  pci-dss 
9
Jak wyłączyć TLS 1.0 bez zerwania RDP?
Nasz procesor karty kredytowej niedawno powiadomił nas, że od 30 czerwca 2016 r. Będziemy musieli wyłączyć protokół TLS 1.0, aby zachować zgodność z PCI . Próbowałem być proaktywny, wyłączając TLS 1.0 na naszym komputerze z systemem Windows Server 2008 R2, ale okazało się, że natychmiast po ponownym uruchomieniu nie byłem …
10
Uruchom oprogramowanie antywirusowe na serwerach DNS z systemem Linux. Czy jest sens?
Podczas ostatniego audytu poproszono nas o zainstalowanie oprogramowania antywirusowego na naszych serwerach DNS z systemem Linux (bind9). Serwery nie zostały naruszone podczas testów penetracyjnych, ale była to jedna z podanych rekomendacji. Zazwyczaj oprogramowanie antywirusowe Linux jest instalowane do skanowania ruchu przeznaczonego dla użytkowników, więc jaki jest cel instalacji programu antywirusowego …
5
Jak mogę wyłączyć TLS 1.0 i 1.1 w Apache?
Czy ktoś wie, dlaczego nie mogę wyłączyć tls 1.0 i tls1.1 poprzez zaktualizowanie konfiguracji do tego. SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 Po wykonaniu tej czynności ponownie ładuję apache. Wykonuję skanowanie ssl przy użyciu narzędzia ssllabs lub comodo ssl i nadal mówi, że tls 1.1 i 1.0 są obsługiwane. Chciałbym …
3
Wyłącz TLS 1.0 w NGINX
Mam NGINX działający jako odwrotny serwer proxy dla naszych witryn i działa bardzo dobrze. W przypadku witryn, które potrzebują ssl, śledziłem raymii.org, aby upewnić się, że uzyskałem jak najlepszy wynik SSLLabs. Jedna z witryn musi być zgodna ze standardem PCI DSS, ale w oparciu o najnowsze skanowanie TrustWave kończy się …
22 nginx  tls  pci-dss 
1
Zasady konta administratorów domeny (po audycie PCI)
Jednym z naszych klientów jest firma PCI poziomu 1, a ich audytorzy zasugerowali, że jesteśmy administratorami systemu i naszymi prawami dostępu. Administrujemy ich całkowicie opartą na systemie Windows infrastrukturą około 700 komputerów stacjonarnych / 80 serwerów / 10 kontrolerów domeny. Sugerują przejście do systemu, w którym mamy trzy oddzielne konta: …
2
Jak izolować zgodność z PCI
Obecnie przetwarzamy, ale nie przechowujemy danych karty kredytowej. Autoryzujemy karty za pośrednictwem samodzielnie opracowanej aplikacji przy użyciu interfejsu API authorize.net. Jeśli to możliwe, chcielibyśmy ograniczyć wszystkie wymagania PCI, które wpływają na nasze serwery (takie jak instalacja antywirusa), do oddzielnego, oddzielnego środowiska. Czy można to zrobić, zachowując zgodność? Jeśli tak, co …
12 security  pci-dss 
1
Czy ktoś osiągnął poziom 1 PCI zgodny z AWS?
Pomijając wszystkie najczęściej zadawane pytania, dokumenty i oświadczenia opublikowane przez AWS, czy którykolwiek sprzedawca Poziomu 1 faktycznie osiągnął zgodność z PCI w AWS? Oceniamy przeniesienie niektórych naszych usług do EC2 / VPC, ale nasz audytor twierdzi, że AWS nie współpracowało, gdy ich inni klienci próbowali osiągnąć zgodność i zamiast tego …
1
Luka w zabezpieczeniach XSS z PCI RapidComply
Mam witrynę internetową hostowaną na serwerze Apache Tomcat 7, który korzysta z bramy Authorize.net i usług handlowych do obsługi płatności. Niedawno przeprowadziłem wymagany test zgodności PCI z moją witryną i nie powiódł się z powodu luki w zabezpieczeniach Odbicie skryptu krzyżowego (XSS). Podali przykład zastąpienia wartości jednego z moich parametrów …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.