零售行业的客户拥有一个网络,其中的销售点 (POS) 终端连接到 POS 服务器。此外,非销售区域的大多数 Windows 工作站也连接到同一台服务器。这是因为 POS 软件只是一个更大的旧应用程序的一个模块,该应用程序负责运行公司的所有业务(库存、采购、会计等)。 根据我们的 PCI 审计员 (QSA),任何直接连接到持卡人数据环境的系统都被视为属于范围(不仅仅是存储、处理或传输 CC 数据的系统)。 问题在于如何限制范围,以便与 CC 数据无关的数百个 Windows 站不属于 PCI DSS 的范围。 此图显示了 POS 和 Windows 站当...
我已更新 Apache2 配置中的 ssl.conf 文件,以使用以下内容SSLCipherSuite SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:!ADH 然而 PCI 扫描似乎检测到 WEAK 和 MEDIUM 密码仍然处于启用状态。 但是,我已经重新启动了 Apache,但却没有任何效果。 我希望能够探测服务器以查看它允许哪些密码,而不必每次进行更改时都等待 PCI 扫描运行。我该怎么做? ...
我们的一个 Web 服务器未能满足 PCI-DSS 合规要求,因为漏洞扫描检测到其操作系统是 Windows Server 2003 Service Pack 1(显然非常过时!)。 我的问题是漏洞扫描如何检测到这一点,因为我似乎无法找到一种方法来获取相同的信息,而无需对该框进行 AD 访问(它在服务提供商网络上)。即使使用 nmap,它也只能提供对操作系统版本的猜测: Aggressive OS guesses: Microsoft Windows Server 2003 SP1 or SP2 (99%) 那么,在向我们的提供商发送非常非常愤怒的电...
我们通过互联网连接的计算机使用信用卡,并且必须通过 PCI 合规网络扫描。当我运行网络扫描时,出现以下错误。我该如何修复此错误。任何帮助表示感谢。 正在运行易受攻击的 HTTP 服务。HTTP 请求 http://xx.xxx.xxx.xxx:8080/ HTTP 响应代码为预期的 401 1: Basic realm="WEB Remote Viewer" ...
为了实现 PCI-DSS 合规性,公司应每月对所有操作系统进行修补。 然而,这些补丁会影响文件完整性监控,例如 /etc/bin /etc/include 以及更多目录。 我的问题是,如何知道哪些目录受到特定补丁的影响? 提前致谢。 ...
拥有相当原始的 Debian Buster (10) 最新稳定版。 PCI 扫描 (sysnet/qualsys/worldpay) 显示PCI 合规性 = 否漏洞编号为 CVE-2019-16905https://security-tracker.debian.org/tracker/CVE-2019-16905 看起来这个问题暂时不会得到解决。解决方案是升级到 OpenSSH 8.3.x(最新版本),这似乎相当简单https://www.tecmint.com/install-openssh-server-from-source-in-linux/ ss...
主题是与服务器硬件相关的 SOC2 合规性。 简而言之,我们有各种各样的服务器,虽然它们非常适合其工作,但制造商的使用寿命和支持都已终止。 举例来说,其中一台服务器是戴尔 R710。 此服务器是 Hyper-V 主机。主机上的虚拟机运行最新/最好的操作系统,包括 Windows 2019、CentOS 7/8 等。戴尔表示它不支持 Windows 2016 及更高版本。 问题是:如果驱动程序不再更新,但我可以安装 Windows 2016/2019,这会通过 SOC2(或 PCI DSS)吗? 附言:在发布之前,我花了很多时间在 Google、这里和其他地方...
Windows Server 2016 上的 IIS 10。已安装所有当前补丁。最近的 PCI 扫描声称服务器的内部 IP 地址在 HTTP 标头中泄露。不幸的是,这家扫描公司没有向您提供有关他们如何得出此结论的任何详细信息,以便我可以重现它。我的所有研究似乎都表明这不是 IIS 10 中的问题,只是 IIS 的旧版本中的问题。我确实有 URL 重写规则,这些规则使用重定向来确保连接是 https,并且主机名中包含 www。 <rule name="HTTPS Redirect"> <match url="(.*)" ...
尽管以前这从来都不是问题,但是如果我们的 PCI 扫描提供商发现一些旧证书,它就会把玩具扔出去,尽管当用户通过域名进入时显示的是正确的当前证书。 我删除了他们首先失败的那个,所以它选择了另一个我也删除的证书。现在它选择了使用 IIS 创建的原始自签名证书。 这产生了一个新问题 - 当我安装最后一个证书时,我选择“Web 托管”作为证书存储,而不是“个人”。 更新应用程序时会使用管理服务,我只需使用管理服务的下拉菜单并将其指向最新证书即可。这次它现在显示在列表中,我已将其归结为使用了错误的证书存储 - 因此我为此使用了自签名证书。如果我删除它,那么我想我...
我们目前正在使用带有 Ubuntu 18.04.3 LTS 的 EC2(AWS)实例,我们正在尝试执行符合 PCI 标准的程序,但 OpenSSH 版本较旧,因此出现错误,因此我们决定对其进行更新。 我已经编译并安装了较新版本的 OpenSSH (8.0*),不幸的是,当我使用我的 IP 运行“scanssh”时,我仍然得到旧版本,有趣的是,当我再次运行“ssh -V”时,我得到了最新版本。 我在网上看到说,这可能是因为我的 SSH 是作为端口而不是包安装的,如果有人知道解决方案,我会很乐意使用它,谢谢! ...
在为 PCI DSS 合规性开展内部 PT 工作时,它标记 LDAP(389 服务器,FreeIPA)匿名绑定允许列出用户帐户列表。 许多搜索都指向设置 nsslapd-allow-anonymous-access: off 或者 nsslapd-allow-anonymous-access: rootdse 但更改此设置似乎会破坏使用此 LDAP 服务器进行身份验证的客户端的身份验证。id不会getent返回任何信息。 我们应该如何保护 LDAP 服务器的安全,同时确保中央身份验证继续正常工作? ...
我正在为一家公司托管多个网站的 Ubuntu 服务器工作。尝试让其中一个域名符合 PCI 标准,但由于 SSL 证书主机名不匹配,端口 25 (SMTP) 出现故障。 服务器上托管的每个域名都有自己的有效 SSL 证书,或者有些共享多域名证书。PCI 扫描会验证端口 443 上的 SSL 证书。 邮件服务器是 Postfix,配置main.cf使用有效的通配符 SSL 证书,该证书用于公司的“主”域。我尝试验证 PCI 的域是另一个域。 我真的不明白如何设置才能在端口 25 上使用 SSL 证书,该证书将对该服务器上托管的任何需要通过 PCI 的域有效...
我是 PCI 领域的新手,但需要研究 ETL(提取-转换-加载)解决方案,以便我的团队将数据从一个地方移动到另一个地方。我查看了亚马逊的PCI DSS 合规资源列表,我注意到 Glue 不在那里。这是否意味着当需要符合 PCI DSS 要求时不应使用 Glue?或者它不需要,因为它不存储数据,只是转换数据并将数据加载到 RDS 数据存储中? 更新:Glue 现已符合 PCI 标准。 ...
查看在 CentOS 7 服务器上我的 SSLProtocols 可能被覆盖的最佳方法是什么?Apache 2.4.6(意识到这个版本也相当旧了,所以我必须在非工作时间更新它,看看它是否能解决问题)。 我正在尝试使用此 Apache 指令在我的配置根目录 (/etc/httpd/conf/httpd.conf) 中禁用 TLSv1 SSLProtocol -all +TLSv1.1 +TLSv1.2 然而,当我运行它时,nmap --script ssl-enum-ciphers -p 443 <mysite.com>它显示 TLSv1 ...
我正在尝试让我们的网络通过 PCI 合规性扫描。我们的硬件设置是:WAN -> AT&T 调制解调器(直通)-> Sonicwall -> Win Server 2012r2 充当域控制器/HDCP。 在解决了一些与 AT&T 相关的问题后,PCI 扫描现在失败了,因为找不到主机。我已确认扫描命中了正确的 IP 地址,并且我正在尝试将 Trustwave 的服务器列入白名单,以便他们获得预期的结果,而不是完全没有响应。 在 Sonicwall 的防火墙设置下,我为 Trustwave IP 添加了一堆范围地址对象,将它们...