«pci-dss» 태그된 질문

PCI DSS (Payment Card Industry Data Security Standard)는 신용 카드 회사의 보안 표준을 맞추기 위해 지원하는 세계적 보안 표준입니다.

30
우리의 보안 감사는 바보입니다. 원하는 정보를 어떻게 제공합니까?
서버의 보안 감사관은 2 주 내에 다음을 요구했습니다. 모든 서버의 모든 사용자 계정에 대한 현재 사용자 이름 및 일반 텍스트 비밀번호 목록 지난 6 개월 동안의 모든 비밀번호 변경 사항 목록을 일반 텍스트로 다시 표시 지난 6 개월 동안 "원격 장치에서 서버에 추가 된 모든 파일"목록 모든 SSH 키의 공개 …
2306 security  pci-dss 

9
RDP를 중단하지 않고 TLS 1.0을 비활성화하려면 어떻게합니까?
신용 카드 프로세서는 최근 2016 년 6 월 30 일자 로 PCI 호환을 유지하기 위해 TLS 1.0을 비활성화 해야한다고 통지했습니다 . Windows Server 2008 R2 시스템에서 TLS 1.0을 비활성화하여 사전에 예방하려고했지만 재부팅 직후 RDP (원격 데스크톱 프로토콜)를 통해 TLS 1.0에 완전히 연결할 수 없었습니다. 일부 연구 결과, RDP는 TLS 1.0 …

10
Linux DNS 서버에서 바이러스 백신 소프트웨어를 실행하십시오. 말이 되나요?
최근 감사 기간 동안 Linux (bind9)를 실행하는 DNS 서버에 바이러스 백신 소프트웨어를 설치해야했습니다. 침투 테스트 중에 서버가 손상되지 않았지만 이는 권장 사항 중 하나였습니다. 일반적으로 Linux 안티 바이러스 소프트웨어는 사용자에게 전송되는 트래픽을 스캔하기 위해 설치되므로 dns 서버에 안티 바이러스를 설치하는 목표는 무엇입니까? 제안에 대한 귀하의 의견은 무엇입니까? 실제로 Linux 서버에서 …

5
아파치에서 TLS 1.0과 1.1을 어떻게 비활성화 할 수 있습니까?
아무도 내가 tls 1.0 및 tls1.1을 비활성화 할 수없는 이유를 알고 있습니까? SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 이 작업을 수행 한 후 아파치를 다시로드하고 ssllabs 또는 comodo ssl 도구를 사용하여 SSL 스캔을 수행하며 여전히 tls 1.1 및 1.0이 지원된다고 말합니다. 이것들을 제거하고 싶습니까?

3
NGINX에서 TLS 1.0 비활성화
우리 사이트의 리버스 프록시 역할을하는 NGINX가 있으며 매우 잘 작동합니다. 필요에 SSL이 사이트를 위해 나는 다음 raymii.org을 SSLLabs 가능한 점수의 확인 강한로 가질 수 있도록. 사이트 중 하나가 PCI DSS를 준수해야하지만 TLS 1.0을 사용하도록 설정했기 때문에 최신 TrustWave 스캔을 기반으로 실패했습니다. nginx.conf의 http 수준에는 다음이 있습니다. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; …
22 nginx  tls  pci-dss 

1
도메인 관리자 계정 정책 (PCI 감사 후)
고객 중 하나는 Tier 1 PCI 회사이며 감사원은 시스템 관리자 및 액세스 권한에 대해 제안했습니다. 우리는 대략 700 대의 데스크톱 / 80 서버 / 10 도메인 컨트롤러의 전체 Windows 기반 인프라를 관리합니다. 그들은 우리가 세 가지 계정을 가지고있는 시스템으로 옮길 것을 제안합니다. DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC 어디 WS는 계정 만 워크 …

2
PCI 준수를 분리하는 방법
우리는 현재 신용 카드 데이터를 처리하지만 저장하지는 않습니다. 우리는 authorize.net API를 사용하여 자체 개발 된 응용 프로그램을 통해 카드를 인증합니다. 가능하면 서버에 영향을 미치는 PCI의 모든 요구 사항 (예 : 안티 바이러스 설치)을 격리 된 별도의 환경으로 제한하려고합니다. 규정 준수를 유지하면서 그렇게 할 수 있습니까? 그렇다면 무엇이 충분한 격리를 구성합니까? …
12 security  pci-dss 

1
AWS에서 레벨 1 PCI 준수를 달성 한 사람이 있습니까?
AWS가 별도로 발표 한 모든 FAQ, 문서 및 진술에 따르면 레벨 1 판매자는 실제로 AWS에서 PCI 준수를 달성 했습니까? 우리는 일부 서비스를 EC2 / VPC로 이전하는 것을 평가하고 있지만, 감사인은 다른 고객이 규정 준수를 달성하려고 할 때 AWS가 협력하지 않았으며 대신 랙 스페이스로 이동해야한다고 말했습니다. 그들이 겪은 문제는 AWS는 AWS …

4
Apache httpd에서 SSLv2를 비활성화하는 방법
방금 https://www.ssllabs.com/에서 내 사이트를 테스트 했으며 SSLv2가 안전하지 않다고 말했으며 약한 Cipher Suites와 함께 비활성화해야합니다. 어떻게 비활성화 할 수 있습니까? 다음을 시도했지만 작동하지 않습니다. /etc/httpd/conf.d/ssl.confftp로 갔다 . 추가 SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT 퍼티로 서버에 연결하고 service httpd restart명령을 내 렸습니다 . 그러나 여전히 사이트에서 안전하지 않은 것으로 보입니다. …

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.