Вопросы с тегом «pci-dss»

2307
Наш аудитор безопасности - идиот. Как я могу дать ему информацию, которую он хочет?

Аудитор безопасности для наших серверов потребовал в течение двух недель: Список текущих имен пользователей и текстовых паролей для всех учетных записей пользователей на всех серверах Список всех изменений пароля за последние шесть месяцев, снова в виде простого текста Список «каждый файл,...

48
Как отключить TLS 1.0, не нарушая RDP?

Наш процессор кредитных карт недавно уведомил нас о том, что с 30 июня 2016 года нам нужно будет отключить TLS 1.0, чтобы оставаться PCI-совместимым . Я попытался быть активным, отключив TLS 1.0 на нашем компьютере с Windows Server 2008 R2, но обнаружил, что сразу после перезагрузки я не смог...

40
Запустите антивирусное программное обеспечение на DNS-серверах Linux. Имеет ли это смысл?

Во время недавнего аудита нам было предложено установить антивирусное программное обеспечение на наших DNS-серверах, работающих под управлением Linux (bind9). Серверы не были скомпрометированы во время тестирования на проникновение, но это была одна из приведенных рекомендаций. Обычно антивирусное...

31
Как я могу отключить TLS 1.0 и 1.1 в apache?

Кто-нибудь знает, почему я не могу отключить tls 1.0 и tls1.1, обновив конфигурацию к этому. SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 После этого я перезагружаю apache, я делаю ssl-сканирование, используя ssllabs или comodo ssl tool, и он по-прежнему говорит, что поддерживаются tls 1.1 и 1.0....

22
Отключить TLS 1.0 в NGINX

У меня есть NGINX, действующий в качестве обратного прокси-сервера для наших сайтов, и он работает очень хорошо. Для сайтов, которые нуждаются в ssl, я следовал за raymii.org, чтобы удостовериться, что набрал максимально возможную оценку SSLLabs Один из сайтов должен быть совместимым с PCI DSS, но...

14
Политика учетной записи администраторов домена (после проверки PCI)

Одним из наших клиентов является компания PCI уровня 1, и их аудиторы внесли предложение в отношении нас как системных администраторов и наших прав доступа. Мы администрируем их полностью основанную на Windows инфраструктуру из примерно 700 настольных компьютеров / 80 серверов / 10 контроллеров...

12
Как изолировать соответствие PCI

В настоящее время мы обрабатываем, но не храним данные кредитных карт. Мы авторизуем карты с помощью собственного приложения, используя API authorize.net. Если возможно, мы хотели бы ограничить все требования PCI, которые влияют на наши серверы (например, установка Антивируса), в изолированную...

9
Кто-нибудь достиг уровня 1 PCI в AWS?

За исключением всех часто задаваемых вопросов, документов и заявлений, опубликованных AWS, достиг ли какой-либо продавец уровня 1 соответствия PCI на AWS? Мы оцениваем перевод некоторых наших сервисов в EC2 / VPC, но наш аудитор говорит, что AWS не сотрудничали, когда их другие клиенты пытались...

8
Как отключить SSLv2 для Apache httpd

Я только что проверил свой сайт на https://www.ssllabs.com/ и он сказал, что SSLv2 небезопасен, и я должен отключить его вместе со слабыми Cipher Suites. Как я могу отключить это? Я попробовал следующее, но это не работает. Пошел /etc/httpd/conf.d/ssl.confпо фтп. добавленной SSLProtocol -ALL +SSLv3...