タグ付けされた質問 「pci-dss」

サーバーのセキュリティ監査員は、2週間以内に次のことを要求しています。 すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストパスワードのリスト 過去6か月間のすべてのパスワード変更のリスト、再びプレーンテキスト 過去6か月間に「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト SSHキーの公開キーと秘密キー ユーザーがパスワードを変更するたびに彼に送信された、プレーンテキストのパスワードを含むメール LDAP認証を使用してRed Hat Linux 5/6およびCentOS 5ボックスを実行しています。 私の知る限り、そのリストのすべては入手が不可能または非常に困難ですが、この情報を提供しないと、移行期間中に支払いプラットフォームへのアクセスが失われ、収入が失われます新しいサービス。この情報を解決または偽造する方法についての提案はありますか？ すべてのプレーンテキストパスワードを取得する唯一の方法は、全員にパスワードをリセットさせ、設定した内容をメモしてもらうことです。過去6か月間のパスワード変更の問題を解決することはできません。その種のものをさかのぼってログに記録することはできないためです。同じことがすべてのリモートファイルの記録にも当てはまります。 すべてのパブリックおよびプライベートSSHキーを取得することは可能ですが（面倒ですが）、ユーザーとコンピューターはわずかしかありません。これを行う簡単な方法を見逃していない限り？ 彼が求めていることは不可能だと何度も説明してきました。私の懸念に応えて、彼は次のメールで返信しました。 私は10年以上のセキュリティ監査の経験とレッドハットのセキュリティ手法の完全な理解を持っているので、何が可能で何ができないかについてあなたの事実を確認することをお勧めします。この情報を入手できる企業はないということですが、私はこの情報がすぐに利用できる場所で何百もの監査を実施しました。[一般的なクレジットカード処理プロバイダー]クライアントはすべて、新しいセキュリティポリシーに準拠する必要があり、この監査は、これらのポリシーが正しく実装されていることを確認することを目的としています*。 *「新しいセキュリティポリシー」は監査の2週間前に導入されたもので、ポリシーが変更されるまで6か月間の履歴ログは必要ありませんでした。 要するに、私は必要です。 6か月分のパスワード変更を「偽造」し、有効に見えるようにする方法 6か月間のインバウンドファイル転送を「偽造」する方法 使用されているすべてのSSH公開鍵と秘密鍵を収集する簡単な方法 セキュリティ監査に失敗すると、カード処理プラットフォーム（システムの重要な部分）にアクセスできなくなり、別の場所に移動するのに2週間かかります。私はどのようにねじ込まれていますか？ アップデート1（23日土） すべてのご回答に感謝します。これが標準的な慣行ではないことを知って非常に安心しています。 現在、状況を説明する彼へのメールの返信を計画しています。あなたの多くが指摘したように、私たちは、プレーンテキストのパスワードにアクセスする方法はないはずであると明示的に示しているPCIに準拠する必要があります。メールを書き終わったら投稿します。残念ながら、彼はただ私たちをテストしているとは思わない。これらは現在、会社の公式のセキュリティポリシーに含まれています。ただし、当分の間、車輪を動かしてPayPalに移動するように設定しました。 アップデート2（土23日） これは私が作成したメールで、追加/削除/変更するものについての提案はありますか？ こんにちは[名前]、 残念ながら、主にプレーンテキストパスワード、パスワード履歴、SSHキー、リモートファイルログなど、要求された情報の一部を提供する方法はありません。これらの事柄が技術的に不可能であるだけでなく、この情報を提供できることは、PCI基準に違反することと、データ保護法の違反になることの両方になります。 PCI要件を引用するには、 8.4強力な暗号化を使用して、すべてのシステムコンポーネントでの送信および保存中にすべてのパスワードを読み取り不能にします。 私たちのシステムで使用されるユーザー名とハッシュ化されたパスワードのリスト、SSH公開キーと許可されたホストファイルのコピーを提供できます（これにより、サーバーに接続できる一意のユーザーの数、および暗号化使用される方法）、パスワードセキュリティ要件とLDAPサーバーに関する情報ですが、この情報はオフサイトに持ち込まれない場合があります。現在、PCIおよびデータ保護法に準拠したままこ​​の監査に合格する方法はないため、監査要件を確認することを強くお勧めします。 よろしく、 [私] 会社のCTOとアカウントマネージャーでCCを行います。CTOがこの情報が利用できないことを確認できることを望んでいます。また、PCI Security Standards Councilに連絡し、彼からの要望を説明します。 更新3（26日） 交換したメールは次のとおりです。 RE：最初のメール。 説明したように、この情報は、適切に管理されたシステムで有能な管理者が簡単に利用できる必要があります。この情報を提供できなかったため、システムのセキュリティ上の欠陥に気づいており、それらを明らかにする準備ができていないと思わせます。私たちの要求はPCIガイドラインに沿っており、両方を満たすことができます。強力な暗号化とは、ユーザーがパスワードを入力している間にパスワードを暗号化する必要があるだけで、後で使用できるように回復可能な形式に移動することを意味します。 これらのリクエストにはデータ保護の問題はありません。データ保護は企業ではなく消費者にのみ適用されるため、この情報に問題はないはずです。 ただ、何ができない、でも... 「強力な暗号化とは、ユーザーがパスワードを入力している間だけパスワードを暗号化する必要があることを意味しますが、後で使用できるように回復可能な形式に移動する必要があります。」 私はそれを額に入れて壁に置きます。 私は外交にうんざりし、このスレッドに彼を向けて、私が得た反応を見せました。 この情報を提供することは、PCIガイドラインのいくつかの要件と直接矛盾します。私が引用したセクションにはstorage 、「ディスク上のデータを保存する場所への実装」とさえ書かれています。ServerFault.com（sys-adminの専門家向けのオンラインコミュニティ）でディスカッションを開始しましたが、大きな反響があり、この情報はすべて提供できないことを示唆しています。自由に読んでください https://serverfault.com/questions/293217/ …

2307 security  pci-dss 

クレジットカードプロセッサは最近、2016年6月30日現在、PCI準拠を維持するためにTLS 1.0を無効にする必要があることを通知しました。Windows Server 2008 R2マシンでTLS 1.0を無効にすることで予防的にしようとしましたが、リブート直後にリモートデスクトッププロトコル（RDP）を介して完全に接続できなかったことがわかりました。調査の結果、RDPはTLS 1.0のみをサポートしているようです（こちらまたはこちらをご覧ください）。少なくとも、RDP over TLS 1.1またはTLS 1.2を有効にする方法は明確ではありません。RDPを壊さずにWindows Server 2008 R2でTLS 1.0を無効にする方法を知っている人はいますか？MicrosoftはRDP over TLS 1.1またはTLS 1.2のサポートを計画していますか？ 注：RDPセキュリティレイヤーを使用するようにサーバーを構成することでそれを行う方法があるように見えますが、ネットワークレベル認証を無効にします。 更新1：マイクロソフトは現在、この問題に対処しています。関連するサーバーの更新については、以下の回答を参照してください。 更新2：Microsoftは、PCI DSS 3.1のSQL Serverサポートに関するチュートリアルをリリースしました。

48 windows-server-2008-r2  ssl  rdp  tls  pci-dss 

最近の監査で、Linux（bind9）を実行しているDNSサーバーにウイルス対策ソフトウェアをインストールするように要求されました。侵入テスト中にサーバーは侵害されませんでしたが、これは提示された推奨事項の1つでした。 通常、Linuxウイルス対策ソフトウェアはユーザー宛のトラフィックをスキャンするためにインストールされますが、DNSサーバーにウイルス対策ソフトウェアをインストールする目的は何ですか？ 提案に対するあなたの意見は？ Linuxサーバーで実際にウイルス対策ソフトウェアを実行していますか？ その場合、どのウイルス対策ソフトウェアを推奨しますか、または現在使用していますか？

40 linux  domain-name-system  bind  anti-virus  pci-dss 

構成をこれに更新することでtls 1.0とtls1.1を無効にできない理由を誰もが知っていますか？ SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 これを実行した後、Apacheをリロードし、ssllabsまたはcomodo sslツールを使用してsslスキャンを実行しますが、まだtls 1.1と1.0がサポートされていると言います。これらを削除したいですか？

31 ssl  apache-2.4  pci-dss 

サイトのリバースプロキシとして機能するNGINXがあり、非常にうまく機能しています。サイトの必要性のSSLは、私が続くことraymii.orgを SSLLabsの強いが、可能な限りスコアとして持っていることを確認します。サイトの1つはPCI DSSに準拠する必要がありますが、TLS 1.0が有効になっているため、最新のTrustWaveスキャンに基づいて失敗しています。 私が持っているnginx.confのhttpレベルで： ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 特定のサーバーについて： ssl_protocols TLSv1.1 TLSv1.2; 私は暗号を変更し、httpレベルから各sslサイトサーバーに物事を移動しましたが、実行するときは何に関係なく： openssl s_client -connect www.example.com:443 -tls1 TLS 1.0の有効な接続を取得します。SSLLabsはサイトのnginxセットアップをAとして設定しますが、TLS 1.0を使用するため、残りのセットアップは正しいと考えています。TLS1.0はオフになりません。 私が行方不明になる可能性についての考え？ openssl version -a OpenSSL 1.0.1f 6 Jan 2014 built on: Thu Jun 11 15:28:12 UTC 2015 platform: debian-amd64 nginx -v nginx version: nginx/1.8.0

22 nginx  tls  pci-dss 

私たちのクライアントの1つはTier 1 PCI会社であり、彼らの監査人はシステム管理者およびアクセス権として私たちに関して提案をしました。 約700のデスクトップ/ 80サーバー/ 10ドメインコントローラーの完全にWindowsベースのインフラストラクチャを管理しています。 彼らは、3つの個別のアカウントを持つシステムに移行することを提案しています。 DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC どこWSが唯一のワークステーションにログオンするアカウントです、ワークステーション上のローカル管理者であります どこSRVは唯一の非DCサーバーにログオンするには、サーバー上のローカル管理者であることをアカウントです ここで、DCはドメインコントローラーのみにログオンするアカウント、実質的にはドメイン管理者アカウント その後、間違ったアカウントから間違ったタイプのシステムへのログオンを防ぐためのポリシーが適用されます（これには、DC以外のマシンのドメイン管理者アカウントの対話型ログオンの削除が含まれます） これは、侵害されたワークステーションがドメイン管理者のログオントークンを公開し、それをドメインコントローラに対して再利用できる状況を防ぐためです。 これは、日常業務に対する非常に侵入的なポリシーであるだけでなく、比較的ありそうもない攻撃/悪用に対処するためのかなりの量の作業であるように見えます（これはとにかく私の理解であり、おそらくこの悪用の実行可能性を誤解しています） 。 他の管理者の意見、特にここでPCI登録会社に関与していて、同様の推奨事項を経験している管理者の意見を聞いてみたいです。管理者ログオンに関するポリシーは何ですか。 記録のために、現在、通常使用するドメインユーザーアカウントと、追加の権限が必要なときに昇格するドメイン管理者アカウントがあります。正直なところ、私たちは少し怠け者であり、多くの場合、日々の運用にドメイン管理者アカウントを使用していますが、これは技術的には会社のポリシーに反しています（ご理解いただけると思います！）。

14 domain-controller  user-accounts  pci-dss 

現在、クレジットカードデータは処理していますが、保存はしていません。authorize.net APIを使用して、独自に開発したアプリケーションを介してカードを認証します。 可能であれば、サーバーに影響を与えるPCIのすべての要件（Anti-Virusのインストールなど）を分離された個別の環境に制限したいと思います。コンプライアンスを維持しながらそれを行うことは可能ですか？ もしそうなら、何が十分な隔離を構成しますか？そうでない場合、その範囲が明確に定義されている場所はありますか？

12 security  pci-dss 

AWSによって公開されたすべてのFAQ、ドキュメント、ステートメントは別として、レベル1の加盟店は実際にAWSでPCIコンプライアンスを実際に達成しましたか？一部のサービスをEC2 / VPCに移行することを評価していますが、監査人は、他のクライアントがコンプライアンスを達成しようとしてAWSが協力的でなく、代わりにRackspaceに移動する必要があったと述べています。彼らが遭遇した問題は、 AWSはAWSのPCI監査で評価された統制の項目別リストを提供していないため、監査人がAWSでカバーされている項目とクライアントの責任である項目をマークすることは不可能です AWSは、ハイパーバイザーがどのように評価され、どのテストがテナントの分離を保証するために実行されたかを明確にしていません 更新：この質問は、元々StackExchangeで質問されましたが、そのサイトには適切ではないと投票されました。

9 amazon-ec2  amazon-web-services  pci-dss 

https://www.ssllabs.com/で自分のサイトをテストしたところ、SSLv2は安全ではないため、脆弱な暗号スイートと一緒に無効にする必要があります。 どうすれば無効にできますか？以下を試しましたが動作しません。 /etc/httpd/conf.d/ssl.confftpで行った。追加されました SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT puttyでサーバーに接続し、service httpd restartコマンドを発行しました。 しかし、それでもサイト上では安全ではないように見えます。どうすれば修正できますか？私のサーバーはPlesk 10.3.1 CentOSです。同じサーバー上に3〜4つのサイトがあります。

8 apache-2.2  centos  ssl  mod-ssl  pci-dss 

言うセキュリティ情報をチェックするには、Windowsでの方法はありますMS**-***かCVE-****-*****パッチが適用されていますか？たとえば、RedHatに似たものrpm -q --changelog service Windows 2008 R2 SP1

8 windows  pci-dss  vulnerabilities  security