Der PCI DSS (Payment Card Industry Data Security Standard) ist ein weltweiter Sicherheitsstandard, der mit Unterstützung von Kreditkartenunternehmen zur Anpassung ihrer Sicherheitsstandards entwickelt wurde.
Ein Sicherheitsprüfer für unsere Server hat innerhalb von zwei Wochen Folgendes verlangt: Eine Liste der aktuellen Benutzernamen und Klartextkennwörter für alle Benutzerkonten auf allen Servern Eine Liste aller Passwortänderungen der letzten sechs Monate, ebenfalls im Klartext Eine Liste aller...
Unser Kreditkarten-Prozessor hat uns kürzlich mitgeteilt, dass wir zum 30. Juni 2016 TLS 1.0 deaktivieren müssen, um PCI-kompatibel zu bleiben . Ich habe versucht, durch Deaktivieren von TLS 1.0 auf unserem Windows Server 2008 R2-Computer proaktiv zu sein, und festgestellt, dass ich unmittelbar...
Bei einem kürzlich durchgeführten Audit wurden wir aufgefordert, Antivirensoftware auf unseren DNS-Servern zu installieren, auf denen Linux (bind9) ausgeführt wird. Die Server wurden beim Penetrationstest nicht beeinträchtigt, dies war jedoch eine der Empfehlungen. Normalerweise wird eine...
Weiß jemand, warum ich tls 1.0 und tls1.1 nicht deaktivieren kann, indem ich die Konfiguration auf diese aktualisiere? SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 Danach lade ich Apache neu. Ich führe einen SSL-Scan mit ssllabs oder comodo ssl tool durch und es heißt immer noch, dass tls 1.1 und...
Ich habe ein NGINX, das als Reverse-Proxy für unsere Sites fungiert, und es funktioniert sehr gut. Die Sites, die Notwendigkeit ssl folgte ich raymii.org sicher zu machen , wie stark haben eines SSLLabs wie möglich punkten. Einer der Standorte muss PCI-DSS-kompatibel sein, aber basierend auf dem...
Einer unserer Kunden ist ein Tier-1-PCI-Unternehmen, und ihre Prüfer haben uns als Systemadministratoren und unsere Zugriffsrechte einen Vorschlag unterbreitet. Wir verwalten die vollständig auf Windows basierende Infrastruktur von rund 700 Desktops / 80 Servern / 10 Domänencontrollern. Sie...
Wir verarbeiten derzeit Kreditkartendaten, speichern sie jedoch nicht. Wir autorisieren die Karten über eine selbst entwickelte Anwendung mit der authorize.net API. Nach Möglichkeit möchten wir alle PCI-Anforderungen einschränken, die sich auf unsere Server auswirken (z. B. die Installation von...
Abgesehen von allen von AWS veröffentlichten FAQs, Dokumenten und Aussagen hat ein Level 1-Händler tatsächlich die PCI-Konformität für AWS erreicht? Wir prüfen die Verlagerung einiger unserer Services auf EC2 / VPC, aber unser Prüfer sagt, dass AWS nicht kooperativ war, als die anderen Kunden...
Gibt es in Windows eine Möglichkeit, das Security Bulletin zu überprüfen, MS**-***oder CVE-****-*****es wurde gepatcht? zB etwas ähnliches wie RedHatrpm -q --changelog service Windows 2008 R2
Ich habe gerade meine Website unter https://www.ssllabs.com/ getestet und festgestellt, dass SSLv2 unsicher ist, und ich sollte dies zusammen mit schwachen Cipher Suites deaktivieren. Wie kann ich das deaktivieren? Ich habe Folgendes versucht, aber es funktioniert nicht. Ging
Ich habe eine Website, die gerade eine PCI-Konformitätsprüfung nicht bestanden hat. Der Bericht besagt, dass die Website schwache Chiffren unterstützt. Ich dachte, ich hätte das bereits deaktiviert, indem ich SSL 2.0 auf den Webservern deaktiviert habe. (Es lehnt es ab, eine Webseite zu laden, wenn...
Müssen wir PCI-konform sein, um Sozialversicherungsnummern in unserer gehosteten Datenbank zu speichern? Wir hosten eine CRM-Datenbank für gemeinnützige Organisationen in South
Ich habe viel über PCI DSS und seine Anforderungen gelesen, bin mir aber nicht sicher, was genau bestimmt, ob sich ein Unternehmen um die Einhaltung von PCI DSS sorgen muss. Wir akzeptieren Zahlungen über ein einfaches HiSpeed 6200- POS-Terminal, das über unser Office-LAN mit dem Internet...
Aufgrund von PCI-DSS müssen wir die Klartextauthentifizierung deaktivieren. Dies haben wir erreicht, indem wir die Kommunikation zwischen unserem Mailserver und Clients mit TLS an Port 465 gekapselt haben. Das Problem liegt darin, dass Port 25 offen und unverschlüsselt bleiben muss, damit wir...
Ich frage mich nur, ob jemand einen Grund kennt, warum die Verwendung von psexec zum Fehlschlagen eines PCI-DSS-Audits führen würde. Ich war nie in der Lage, Informationen zu finden, obwohl mir immer gesagt wurde, dass sie von Administratoren nicht für irgendetwas in der CDE oder Umgebung verwendet...
Ich habe diese Frage zur Informationssicherheit bereits gestellt, aber bisher keine Kommentare erhalten. Ich denke, es handelt sich eher um eine Frage der Serverinfrastruktur und -konfiguration als um eine Sicherheitsfrage an sich. Deshalb werde ich versuchen, mich kurz zu fassen: Wir sind...