Standard Payment Card Industry Data Security Standard (PCI DSS) to światowy standard bezpieczeństwa, który został utworzony przy wsparciu firm obsługujących karty kredytowe w celu dostosowania ich standardów bezpieczeństwa.
Audytor bezpieczeństwa naszych serwerów zażądał w ciągu dwóch tygodni: Lista bieżących nazw użytkowników i haseł tekstowych dla wszystkich kont użytkowników na wszystkich serwerach Lista wszystkich zmian haseł z ostatnich sześciu miesięcy, również w postaci zwykłego tekstu Lista „każdego pliku...
Nasz procesor karty kredytowej niedawno powiadomił nas, że od 30 czerwca 2016 r. Będziemy musieli wyłączyć protokół TLS 1.0, aby zachować zgodność z PCI . Próbowałem być proaktywny, wyłączając TLS 1.0 na naszym komputerze z systemem Windows Server 2008 R2, ale okazało się, że natychmiast po...
Podczas ostatniego audytu poproszono nas o zainstalowanie oprogramowania antywirusowego na naszych serwerach DNS z systemem Linux (bind9). Serwery nie zostały naruszone podczas testów penetracyjnych, ale była to jedna z podanych rekomendacji. Zazwyczaj oprogramowanie antywirusowe Linux jest...
Czy ktoś wie, dlaczego nie mogę wyłączyć tls 1.0 i tls1.1 poprzez zaktualizowanie konfiguracji do tego. SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 Po wykonaniu tej czynności ponownie ładuję apache. Wykonuję skanowanie ssl przy użyciu narzędzia ssllabs lub comodo ssl i nadal mówi, że tls 1.1...
Mam NGINX działający jako odwrotny serwer proxy dla naszych witryn i działa bardzo dobrze. W przypadku witryn, które potrzebują ssl, śledziłem raymii.org, aby upewnić się, że uzyskałem jak najlepszy wynik SSLLabs. Jedna z witryn musi być zgodna ze standardem PCI DSS, ale w oparciu o najnowsze...
Jednym z naszych klientów jest firma PCI poziomu 1, a ich audytorzy zasugerowali, że jesteśmy administratorami systemu i naszymi prawami dostępu. Administrujemy ich całkowicie opartą na systemie Windows infrastrukturą około 700 komputerów stacjonarnych / 80 serwerów / 10 kontrolerów...
Obecnie przetwarzamy, ale nie przechowujemy danych karty kredytowej. Autoryzujemy karty za pośrednictwem samodzielnie opracowanej aplikacji przy użyciu interfejsu API authorize.net. Jeśli to możliwe, chcielibyśmy ograniczyć wszystkie wymagania PCI, które wpływają na nasze serwery (takie jak...
Pomijając wszystkie najczęściej zadawane pytania, dokumenty i oświadczenia opublikowane przez AWS, czy którykolwiek sprzedawca Poziomu 1 faktycznie osiągnął zgodność z PCI w AWS? Oceniamy przeniesienie niektórych naszych usług do EC2 / VPC, ale nasz audytor twierdzi, że AWS nie współpracowało, gdy...
Mam witrynę internetową hostowaną na serwerze Apache Tomcat 7, który korzysta z bramy Authorize.net i usług handlowych do obsługi płatności. Niedawno przeprowadziłem wymagany test zgodności PCI z moją witryną i nie powiódł się z powodu luki w zabezpieczeniach Odbicie skryptu krzyżowego (XSS)....