(Modificato e aggiunto ulteriori informazioni in fondo a questa domanda)
Mi è stato affidato il compito di "testare" i server Web Linux di un cliente, eseguendo cPanel (che possiedono e principalmente gestiscono, fino a quando vengono da me di tanto in tanto per chiedere aiuto) per la conformità PCI. Il cliente non sta facendo nulla con l'e-commerce ora, ma vorrebbe considerarlo in futuro.
Non posseggo alcun certificato di sicurezza, ma sono tornato alla mia alma mater lo scorso autunno per un corso semestrale sulla sicurezza informatica, in cui l'obiettivo del corso erano i 10 domini inclusi nella certificazione CISSP. Ho anche svolto ricerche sulla conformità PCI in passato (e in un caso un paio di anni fa, ho dovuto rimproverare un piccolo processore di pagamento per chiedermi di consentire a uno dei miei clienti di memorizzare i dati delle carte di credito in formato testo semplice su un server gestito).
Sto basando le mie raccomandazioni al mio attuale cliente da quel corso così come dalla ricerca che ho fatto su PCI Compliance.
Ho scaricato il Questionario di autovalutazione C-VT dal sito Web PCI Security Standards e anche scaricato il documento Navigating PCI DSS v2.0.
Detto questo, sono più interessato ai test (o liste di controllo) contro il server reale che posso eseguire. Ho scoperto che McAfee e cPanel hanno un plug-in cPanel (gratuito) consentire fino a 4 scansioni all'anno. Ho anche trovato un paio di scansioni PCI esterne esterne ( qui e qui ).
Sono diffidente delle scansioni "gratuite", soprattutto se non si conosce l'organizzazione dietro la scansione. Tuttavia, il mio cliente comprensibilmente non vuole pagare per una scansione (oltre al mio tempo) perché in realtà non sta perseguendo la conformità o sta facendo qualcosa di ecommerce in questo momento (vogliono solo essere preparati). Sono anche un'organizzazione no-profit, quindi non hanno molti soldi.
Quindi ho 3 domande correlate:
- Ci sono scansioni "gratuite" che consiglieresti o non consiglieresti per testare un server?
- Hai qualche idea sul plug-in di McAfee per cPanel?
- Sono disponibili elenchi di controllo (diversi dai documenti PDF disponibili all'indirizzo pcisecuritystandards.org ) che posso utilizzare per eseguire un "autotest" sul server e testarlo manualmente per la conformità PCI?
Modifica per ulteriori informazioni
Sulla base dei commenti sottostanti sotto forma di risposte e domande, vorrei chiarire alcune cose. Il cliente non sta passando alcun controllo di sicurezza ufficiale o test di conformità PCI. Vorrebbero solo avere una buona idea di ciò che stanno facendo bene, di cosa ha bisogno di lavoro e di cosa avrebbero bisogno di concentrarsi in futuro se decidessero di elaborare le transazioni attraverso il loro server.
Ho scelto il C-VT, perché ho letto questo nella sua introduzione:
Web-Based Virtual Terminal, No Electronic Cardholder Data Storage
Se ti ascolto correttamente, ho fatto un'ipotesi sbagliata, e il C-VT non ha nulla a che fare con i siti web, ma invece ha a che fare con gli attuali terminali CC. Daro un'occhiata a SAQ-D. Grazie per questo suggerimento.
Grazie per le risposte finora. (Fine modifica)