我是 PCI 新手,我们刚刚购买了 Trustkeeper PCI 扫描,以下是部分结果(仅漏洞名称):
- 数据库可访问性
- 支持 SSLv2
- 大量与 BIND(补丁)相关的漏洞
- 大量 OpenSSL(补丁)相关漏洞
- 大量与 Apache Tomcat(补丁)相关的漏洞
- HTTP 服务器用户名探测
我们正在为 VPS 服务付费,我的问题是:哪些漏洞可以/应该/必须由我们修复(我们如何修复它们???)以及哪些漏洞由托管服务提供商修复?
提前致谢!
答案1
您应该为托管制定条款和条件,以缩小谁负责什么的范围。或者联系公司的技术支持联系人应该可以解决问题。
如果您是安装服务的人,那么责任很可能由您承担。如果他们提供了相关服务而您无法访问,那么责任就由他们承担。但是,他们可能会拒绝为您提供所有帮助。如果您所做的工作必须符合 PCI 合规性,您可能需要寻找其他提供商。
答案2
一般来说,您永远不会在 VPS 上通过 PCI 合规性。这通常是由于共享存储造成的。
答案3
数据库可访问性
禁用互联网对数据库服务的访问。
支持 SSLv2
禁用 SSLv2。具体步骤取决于存在漏洞的 Web 服务器。
大量与 BIND(补丁)相关的漏洞
大量 OpenSSL(补丁)相关漏洞
大量与 Apache Tomcat(补丁)相关的漏洞
补丁。具体步骤取决于您的操作系统。
HTTP 服务器用户名探测
需要有关扫描遇到问题的确切请求/响应的更多信息。
对于典型的 VPS 配置,所有这些问题都由您负责 - 但正如 Mike 所说,漏洞扫描是一回事,但在不是专门围绕 PCI 构建的 VPS 环境中,您不太可能获得真正的 PCI 合规性。