Autotest per la conformità PCI di cPanel Server

Naviga le tue risposte
3

(Modificato e aggiunto ulteriori informazioni in fondo a questa domanda)

Mi è stato affidato il compito di "testare" i server Web Linux di un cliente, eseguendo cPanel (che possiedono e principalmente gestiscono, fino a quando vengono da me di tanto in tanto per chiedere aiuto) per la conformità PCI. Il cliente non sta facendo nulla con l'e-commerce ora, ma vorrebbe considerarlo in futuro.

Non posseggo alcun certificato di sicurezza, ma sono tornato alla mia alma mater lo scorso autunno per un corso semestrale sulla sicurezza informatica, in cui l'obiettivo del corso erano i 10 domini inclusi nella certificazione CISSP. Ho anche svolto ricerche sulla conformità PCI in passato (e in un caso un paio di anni fa, ho dovuto rimproverare un piccolo processore di pagamento per chiedermi di consentire a uno dei miei clienti di memorizzare i dati delle carte di credito in formato testo semplice su un server gestito).

Sto basando le mie raccomandazioni al mio attuale cliente da quel corso così come dalla ricerca che ho fatto su PCI Compliance.

Ho scaricato il Questionario di autovalutazione C-VT dal sito Web PCI Security Standards e anche scaricato il documento Navigating PCI DSS v2.0.

Detto questo, sono più interessato ai test (o liste di controllo) contro il server reale che posso eseguire. Ho scoperto che McAfee e cPanel hanno un plug-in cPanel (gratuito) consentire fino a 4 scansioni all'anno. Ho anche trovato un paio di scansioni PCI esterne esterne ( qui e qui ).

Sono diffidente delle scansioni "gratuite", soprattutto se non si conosce l'organizzazione dietro la scansione. Tuttavia, il mio cliente comprensibilmente non vuole pagare per una scansione (oltre al mio tempo) perché in realtà non sta perseguendo la conformità o sta facendo qualcosa di ecommerce in questo momento (vogliono solo essere preparati). Sono anche un'organizzazione no-profit, quindi non hanno molti soldi.

Quindi ho 3 domande correlate:

  1. Ci sono scansioni "gratuite" che consiglieresti o non consiglieresti per testare un server?
  2. Hai qualche idea sul plug-in di McAfee per cPanel?
  3. Sono disponibili elenchi di controllo (diversi dai documenti PDF disponibili all'indirizzo pcisecuritystandards.org ) che posso utilizzare per eseguire un "autotest" sul server e testarlo manualmente per la conformità PCI?

Modifica per ulteriori informazioni

Sulla base dei commenti sottostanti sotto forma di risposte e domande, vorrei chiarire alcune cose. Il cliente non sta passando alcun controllo di sicurezza ufficiale o test di conformità PCI. Vorrebbero solo avere una buona idea di ciò che stanno facendo bene, di cosa ha bisogno di lavoro e di cosa avrebbero bisogno di concentrarsi in futuro se decidessero di elaborare le transazioni attraverso il loro server.

Ho scelto il C-VT, perché ho letto questo nella sua introduzione:

Web-Based Virtual Terminal, No Electronic Cardholder Data Storage

Se ti ascolto correttamente, ho fatto un'ipotesi sbagliata, e il C-VT non ha nulla a che fare con i siti web, ma invece ha a che fare con gli attuali terminali CC. Daro un'occhiata a SAQ-D. Grazie per questo suggerimento.

Grazie per le risposte finora. (Fine modifica)

    
posta David W 02.05.2013 - 18:10
fonte

3 risposte

4

In termini di scansione del sistema per la conformità, si tratta di eseguire scansioni di vulnerabilità e vedere se passano esternamente e se il rischio è accettabile internamente. In termini di se il sistema è configurato in modo conforme richiede più lavoro come da elenco seguente:

  • La rete è limitata ai protocolli necessari per scopi aziendali senza protocolli non sicuri in uso per gli accessi ecc. come telnet?
  • Il sistema è temprato secondo uno standard del settore (SANS, NIST, CIS)?
  • È attivo HTTPS (trasmissione di dati sensibili su canali criptati)?
  • AV è installato e aggiornato (non è veramente necessario su * nix)?
  • Il sistema è aggiornato?
  • Lo sviluppo aderisce a un SDLC con sviluppatori esperti?
  • L'autorizzazione dell'utente è verificata e basata sui ruoli?
  • Le norme sulle password sono applicate e applicate (lunghezza, complessità, invecchiamento, ecc.)?
  • È in corso l'autenticazione per l'autenticazione, il monitoraggio dell'integrità dei file, la sincronizzazione NTP, IDS / IPS, test di penetrazione?
  • Un sacco di documentazione sulla politica?

Se si desidera eseguire un controllo di base, indurire il sistema ed eseguire una scansione di vulnerabilità. Se è necessario essere pronti per la conformità, è necessario esaminare ciascuno dei precedenti e più in base ai requisiti di conformità (ad esempio SAQ / valutazione completa / SAQ in base al canale di pagamento, ecc.)

In base alle tue 3 domande specifiche ...

Le scansioni di vulnerabilità sono tutte abbastanza simili in quanto eseguono la scansione e il controllo di vulnerabilità e misu- ra rispetto al punteggio CVSS. Nessus è buono ma ce ne sono molti.

Il plug-in McAfee (credo) è basato sul loro materiale Foundstone ed è buono.

In termini di liste di controllo, si tratta di consultare l'elenco sopra o lo standard PCI o semplicemente considerare le migliori pratiche.

    
risposta data 02.05.2013 - 18:50
fonte
2

Non sono sicuro di cosa sia un autotest, tuttavia non è necessario pagare nulla per gli strumenti per testare gli standard PCI. Ci sono un sacco di strumenti gratuiti là fuori, ci sono anche le distro OS specifiche per la sicurezza e la medicina legale che non costano assolutamente nulla. Quindi prendi una copia della distro Backtrack o Kali OS e eseguila da USB o come macchina virtuale e vai in città con Nessus o un altro strumento gratuito di valutazione delle vulnerabilità.

    
risposta data 02.05.2013 - 18:23
fonte
1

Perché dovresti provare CPanel per la conformità PCI? Come sei arrivato ad arrivare a C-VT come SAQ applicabile?

Quali requisiti PCI si stanno facendo per soddisfare?

Una cosa è certa: CPanel non dovrebbe MAI essere esposto a Internet aperto. Quindi, se lo scannerizzi da una rete, puoi dimenticare la conformità PCI.

Faccio PCI per vivere.

    
risposta data 08.05.2013 - 03:17
fonte

Leggi altre domande sui tag

Informazioni sull'agente utente dal flusso HTTPS Autorizzazione dell'uso di app da un negozio pubblico senza alcun servizio di back-end