Questions tagged «pci-dss»

支付卡行业数据安全标准(PCI DSS)是全球性安全标准,在信用卡公司的支持下形成,以使其安全标准保持一致。

30
我们的安全审核员是白痴。我如何给他他想要的信息?
我们服务器的安全审核员在两周内要求以下内容: 所有服务器上所有用户帐户的当前用户名和纯文本密码的列表 过去六个月中所有密码更改的列表,再次为纯文本 过去六个月中“从远程设备添加到服务器的每个文件”列表 任何SSH密钥的公钥和私钥 每当用户更改密码时,都会向他发送一封电子邮件,其中包含纯文本密码 我们正在运行具有LDAP身份验证的Red Hat Linux 5/6和CentOS 5盒。 据我所知,该清单上的所有信息都是不可能获得或难以置信的,但是,如果我不提供此信息,我们将面临过渡到支付平台的过程,并在过渡期间失去收入。新服务。关于如何解决或伪造此信息的任何建议? 我想获得所有纯文本密码的唯一方法是,让所有人重置密码并记下密码。这不能解决过去六个月的密码更改问题,因为我无法追溯性地记录此类内容,记录所有远程文件也是如此。 由于我们只有几个用户和计算机,因此可以获取所有公共和私有SSH密钥(尽管很烦人)。除非我错过了一种更简单的方法? 我已经多次向他解释过他所要求的事情是不可能的。针对我的担忧,他回复了以下电子邮件: 我在安全审核方面拥有10多年的经验,并且对redhat安全方法有充分的了解,因此建议您检查一下什么是可能的以及不可能的事实。您说没有公司可能拥有此信息,但是我已经进行了数百次审核,这些信息很容易获得。所有[通用信用卡处理提供商]客户都必须遵守我们的新安全策略,该审核旨在确保正确实施了这些策略*。 *“新安全策略”是在审核前两周引入的,在策略更改之前不需要六个月的历史记录。 简而言之,我需要; 一种“伪造”六个月的密码更改并使其看起来有效的方法 一种“伪造”六个月的入站文件传输的方法 一种收集所有正在使用的SSH公钥和私钥的简便方法 如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(系统的关键部分),并且可能需要两个星期才能转移到其他地方。我怎么搞砸了? 更新1(23日星期六) 感谢您的所有答复,让我感到很欣慰的是,这不是标准做法。 我目前正在计划发给他的电子邮件回信,说明情况。正如你们中许多人所指出的,我们必须遵守PCI,PCI明确指出我们不应有任何方式来访问纯文本密码。写完电子邮件后,我将发布该电子邮件。不幸的是,我不认为他只是在测试我们。这些东西现在已经在公司的官方安全政策中了。但是,我暂时将轮子移开,使其离开它们并进入Pay​​Pal。 更新2(星期六23) 这是我起草的电子邮件,对添加/删除/更改的内容有何建议? 嗨,[名字] 不幸的是,我们无法为您提供所需的一些信息,主要是纯文本密码,密码历史记录,SSH密钥和远程文件日志。这些事情不仅在技术上是不可能的,而且能够提供此信息不仅违反PCI标准,而且违反了数据保护法。 要引用PCI要求, 8.4使用强密码技术在所有系统组件上传输和存储期间使所有密码不可读。 我可以为您提供在我们的系统上使用的用户名和哈希密码的列表,SSH公钥和授权主机文件的副本(这将为您提供足够的信息,以确定可以连接到我们服务器的唯一用户数以及加密所使用的方法),有关我们的密码安全要求和LDAP服务器的信息,但此信息可能不会在现场获取。我强烈建议您检查您的审核要求,因为在保持PCI和《数据保护法案》合规性的同时,我们目前无法通过该审核。 问候, [我] 我将在该公司的CTO和我们的客户经理中担任CC'ing,希望CTO可以确认此信息不可用。我还将与PCI安全标准委员会联系,以解释他对我们的要求。 更新3(26日) 这是我们交换的一些电子邮件; RE:我的第一封电子邮件; 如所解释的,任何合格的管理员都应可以在任何维护良好的系统上轻松获得此信息。您无法提供此信息使我相信您已经意识到系统中的安全漏洞,并且不准备透露它们。我们的要求符合PCI准则,并且都可以满足。强大的加密技术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。 我认为这些请求没有数据保护问题,数据保护仅适用于消费者而不是企业,因此此信息应该没有问题。 只是,我什至不能... “强大的加密技术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。” 我将其框起来并放在墙上。 我厌倦了外交,并指示他进入这个话题,向他展示我的回应: 直接提供此信息与PCI准则的若干要求相矛盾。我引用的部分甚至说了storage (暗示我们在磁盘上存储数据的位置)。我在ServerFault.com(系统管理员专业人员的在线社区)上开始了讨论,该讨论引起了巨大反响,所有讨论都表明无法提供此信息。随意通读 https://serverfault.com/questions/293217/ 我们已经完成了将系统转移到新平台的工作,并将在第二天左右取消您的帐户,但是我希望您意识到这些请求是多么荒谬,而且没有一家公司正确或正确地实施PCI准则,能够提供此信息。我强烈建议您重新考虑您的安全性要求,因为您的所有客户都不应该符合此要求。 (我实际上已经忘记了我称呼他为标题中的白痴,但是如上所述,我们已经离开了他们的平台,所以没有真正的损失。) 在他的回应中,他指出,显然没有人知道您在说什么: …
2306 security  pci-dss 

9
如何在不破坏RDP的情况下禁用TLS 1.0?
我们的信用卡处理器最近通知我们,从2016年6月30日起,我们将需要禁用TLS 1.0才能保持PCI兼容性。我试图通过在Windows Server 2008 R2计算机上禁用TLS 1.0来主动,但发现重新启动后我立即无法完全通过远程桌面协议(RDP)连接到它。经过研究,似乎RDP仅支持TLS 1.0(请参阅此处或此处),或者至少不清楚如何在TLS 1.1或TLS 1.2上启用RDP。有人知道在不破坏RDP的情况下在Windows Server 2008 R2上禁用TLS 1.0的方法吗?Microsoft是否计划通过TLS 1.1或TLS 1.2支持RDP? 注意:似乎有一种方法可以通过将服务器配置为使用RDP安全层来实现,但是这会禁用网络级身份验证,这似乎是一种交易。 更新1:Microsoft现在已解决此问题。请参阅下面的答案以获取相关的服务器更新。 更新2:Microsoft已发布有关SQL Server对PCI DSS 3.1的支持的教程。

10
在linux DNS服务器上运行防病毒软件。是否有意义?
在最近的审核中,我们被要求在运行linux(bind9)的DNS服务器上安装防病毒软件。服务器在渗透测试期间没有受到损害,但这是给出的建议之一。 通常,会安装linux防病毒软件来扫描发往用户的流量,那么在dns服务器上安装防病毒软件的目标是什么? 您对该提案有何看法? 您实际上在Linux服务器上运行防病毒软件吗? 如果是这样,您会推荐或您正在使用哪种防病毒软件?

5
如何在apache中禁用TLS 1.0和1.1?
有谁知道为什么我不能通过更新配置禁用tls 1.0和tls1.1。 SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 完成此操作后,我重新加载apache,然后使用ssllabs或comodo ssl工具进行ssl扫描,但仍然说支持tls 1.1和1.0。我要删除这些?

3
在NGINX中禁用TLS 1.0
我有NGINX充当我们网站的反向代理,并且运行良好。对于需要ssl的网站,我关注了raymii.org以确保获得尽可能高的SSLLabs评分。其中一个站点需要符合PCI DSS的要求,但是基于最新的TrustWave扫描现在由于启用了TLS 1.0而失败。 在nginx.conf中的http级别上,我有: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 对于特定的服务器,我有: ssl_protocols TLSv1.1 TLSv1.2; 我更改了密码,将内容从http级别移到了每个ssl站点服务器,但是无论何时运行: openssl s_client -connect www.example.com:443 -tls1 我获得了TLS 1.0的有效连接。SSLLabs将网站的nginx设置作为A放置,但使用TLS 1.0,因此我相信其余设置是正确的,只是不会关闭TLS 1.0。 对我可能会想念的东西有什么想法? openssl version -a OpenSSL 1.0.1f 6 Jan 2014 built on: Thu Jun 11 15:28:12 UTC 2015 platform: debian-amd64 nginx -v nginx version: nginx/1.8.0
22 nginx  tls  pci-dss 

1
域管理员帐户策略(在PCI审核之后)
我们的客户之一是Tier 1 PCI公司,他们的审计师就我们作为系统管理员和我们的访问权提出了建议。 我们管理它们的大约700个台式机/ 80个服务器/ 10域控制器的完全基于Windows的基础结构。 他们建议我们改用拥有三个单独帐户的系统: DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC 当WS是帐户上只有工作站日志,是在工作站上的本地管理员 其中SRV是帐户上只有非DC服务器日志,是在服务器上的本地管理员 当DC是帐户上唯一的域控制器,有效的域管理员帐户登录 然后制定适当的策略来防止从错误的帐户登录到错误的系统类型(包括删除非DC计算机上域管理员帐户的交互式登录) 这是为了防止受感染的工作站可以暴露域管理员登录令牌并针对域控制器重新使用该令牌的情况。 这似乎不仅对我们的日常运营而言是一项非常侵入性的政策,而且对于解决相对不太可能的攻击/利用(这仍然是我的理解,也许我误解了此利用的可行性)的工作量很大, 。 我很想听听其他管理员的意见,尤其是那些曾经在PCI注册公司中工作过的人,并且您也遇到类似的建议。您对管理员登录有什么政策。 作为记录,我们目前拥有一个通常使用的域用户帐户,以及一个在我们需要其他权限时也会提升的域管理员帐户。坦率地说,我们都比较懒惰,尽管在技术上违反我们公司的政策(尽管我肯定您理解!),但通常只使用Domain Admin帐户进行日常操作。

2
如何隔离PCI合规性
我们目前正在处理但不存储信用卡数据。我们通过使用authorize.net API自行开发的应用程序对卡进行授权。 如果可能,我们希望将影响服务器的所有PCI要求(例如安装Anti-Virus)限制在一个隔离的单独环境中。在保持合规性的同时还能做到吗? 如果是这样,那么将构成充分的隔离?如果不是,是否有明确定义该范围的地方?
12 security  pci-dss 

1
有人在AWS上达到了1级PCI合规性吗?
除了AWS所发布的所有常见问题解答,文档和声明之外,任何1级商家实际上是否已在AWS上实现 PCI合规性?我们正在评估将某些服务移至EC2 / VPC的情况,但是审计师说,当其他客户试图实现合规性而不得不去Rackspace时,AWS并没有合作。他们遇到的问题是 AWS未提供在AWS自身的PCI审核中评估的控件的逐项清单,因此审核员无法标记AWS涵盖哪些项目以及哪些是客户的责任 AWS未阐明如何评估虚拟机监控程序以及执行了哪些测试以确保租户隔离 更新:此问题最初是在StackExchange上提出的,但因不适合该网站而被否决/programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

4
如何为Apache httpd禁用SSLv2
我刚刚在https://www.ssllabs.com/上测试了我的网站,它说SSLv2是不安全的,我应该与弱密码套件一起禁用它。 如何禁用它?我尝试了以下操作,但不起作用。 /etc/httpd/conf.d/ssl.conf通过ftp 进入。添加 SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT 通过腻子连接到服务器并发出service httpd restart命令。 但是它在网站上仍然显示不安全。我该如何解决?我的服务器是Plesk 10.3.1 CentOS。同一台服务器上有3-4个站点。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.