我们收到一条警报,需要纠正一些 PCI 合规性问题。
是否有一种服务可以帮助我们快速解决这些问题?
发布警报的审计公司提供了不具指导性的信息和如何纠正错误的说明。
例如,我们对此安全违规进行了标记,“描述:URL X 的类别参数中存在跨站点脚本漏洞。”
但却没有提供任何帮助。
答案1
不——这个问题没有快速的解决方案。
您的选择是:
- 聘请 IT 安全公司或具有 PCI 合规性经验的顾问,他们将能够指导您完成整个过程。(这可能是最快的,但实际成本最高)
- 自行修复问题学习如何解读审计结果(这可能需要团队中几个人的帮助)
- 从你的团队中召集合适的人员
- 程序员(负责软件修复 - 最好具有应用程序安全经验)
- 网络安全工程师(负责网络安全修复)
- 业务分析师(了解您与信用卡数据交互的人)
- 合规专家(如果有)
- 审查审计结果报告并找出每个负面发现。
- 评估每个负面发现以了解问题并指派人员解决这些问题
- 您提到的例子“描述:URL X 类别参数中的跨站点脚本漏洞。”只是一个可能的 IT 安全漏洞,与 PCI 合规性没有直接关系,但很可能会在审计中被标记。
- 审计人员通常会针对应用程序运行自动漏洞扫描工具,而这些工具通常会导致误报。例如:XSS 漏洞可能不是真正的漏洞,但该工具将其标记为可疑。根据我的经验,修复这些问题比每次都试图解释为什么是误报更容易。
- 查看PCI DSS 指南确保您理解它们,并且没有其他需要解决的问题。
- 您现在应该为下一次 PCI DSS 审核做好准备了!
- 从你的团队中召集合适的人员
答案2
使用搜索短语“信息安全公司”进行搜索应该可以让您朝着正确的方向前进。
答案3
好吧,这实际上应该足以识别导致 XSS 漏洞的应用程序和路由。您的开发人员应该能够识别导致该漏洞的代码路径并修复它。如果它不是内部应用程序,您将需要与供应商联系以解决问题。这是假设他们给您的是真实的 URL,而不仅仅是“X”,如果他们只传递给您“X”,那么您需要向审计公司寻求澄清。