Conformità PCI-DSS non riuscita | Invio di prove

Naviga le tue risposte
6

Uno dei nostri server Web gestito da un fornitore di servizi (completamente sotto il loro controllo, non abbiamo accesso all'accesso) ha appena fallito il PCI-DSS vuln. scansione da TrustKeeper. La scansione vuln ha rilevato la casella come sistema operativo Windows Server 2003 SP1 (estremamente obsoleto).

Ho inviato il rapporto al nostro fornitore di servizi (insieme a un'e-mail arrabbiata). Hanno risposto con una semplice schermata ritagliata dello schermo di sysinfo che mostra SOME windows 2k3 sp2 box. Non ho modo di sapere se lo screenshot proviene dalla nostra scatola o no, e in base alla cronologia con il provider, sono propenso a pensare che l'abbiano appena preso da un'altra delle loro scatole per coprire i loro mozziconi.

Senza accesso AD o accesso, è impossibile per me sapere con certezza il livello SP di questa casella.

Domanda:

  1. È sufficiente uno screenshot di una semplice pagina sysinfo per le prove di conformità PCI-DSS? Non riesco a immaginarlo da quando, come affermato, potrebbe provenire da qualsiasi sistema. Ma allora come ottenere prove da questa scatola che mostra che è davvero la nostra scatola e in realtà è SP2?

  2. Come verificare a distanza il livello SP di una scatola. Non ho avuto fortuna con nmap .. c'è un altro modo per dimostrare che non è aggiornato?

Vedi questa domanda Errore del server per il mio OP.

    
posta SnakeDoc 09.05.2013 - 02:57
fonte

3 risposte

4

Affinché tali prove possano essere accettate, è necessario poter collegare le informazioni nell'immagine mostrando il livello di Service Pack al sistema (indirizzo IP / URL) sottoposto a scansione da Trustkeeper. Uno screenshot con finestre diverse aperte che mostra che stai fornendo prove appropriate per il corretto sistema dovrebbe fare il trucco.

Sai se il fornitore di servizi sta eseguendo scansioni di vulnerabilità interne su tali sistemi? Forse potresti avere accesso a quei risultati.

Potresti provare a eseguire uno strumento online come link anche se è improbabile che tu ottenga un risultato diverso su nmap.

Poiché eseguirai scansioni di vulnerabilità esterne ogni 3 mesi, questo sistema ha mai fallito prima?

    
risposta data 09.05.2013 - 08:37
fonte
2

Onestamente, sulla base di ciò che è stato discusso nei commenti, questo non suona come un fornitore di hosting di cui ti fidi . Se è proprio così, il revisore dei conti PCI ha avuto ragione di fallire su questo conteggio. Perché ti fidi di loro con i dati PCI?

Devi spostare queste risorse in house o spostarle in un altro provider di cui ti fidi.

Inoltre, anziché eseguire un ambiente condiviso su cui non hai il controllo, ottieni una casella dedicata o almeno un VPS con accesso root. Puoi ancora pagare qualcuno per gestirlo (servizi gestiti o qualsiasi altra cosa) ma TU può anche verificare che il fornitore di servizi gestito stia facendo il loro lavoro di tanto in tanto e non tiri qualcosa di losco.

Sì, sulla base dei tuoi commenti sembra che abbiano provato a coprirsi il culo e nel processo hanno creato un mal di testa per te. La migliore soluzione a lungo termine è quella di spostare, perché se lo fanno, stanno riducendo la sicurezza dei dati TUA e dei tuoi CLIENTI .

    
risposta data 10.05.2013 - 02:06
fonte
-1

Se devi avere questo tipo di interazione con il fornitore di servizi, hai un rischio di sicurezza maggiore rispetto a Windows Server 2003 SP1 ... che il rischio per la sicurezza è maggiore.

Sparali più velocemente che puoi e trova un altro.

    
risposta data 09.05.2013 - 12:14
fonte

Leggi altre domande sui tag

Che cosa significa l'istruzione PCI-DSS "Memorizza separatamente dalla chiave di crittografia dei dati"? In che modo i token di risorse indiretti specifici per sessione aumentano la sicurezza?