PCI DSS 11.2.1 / 11.2.3 - Scansione scansioni interne

3

Ho bisogno di aiuto su SAQ #C - Vengono eseguite scansioni di vulnerabilità interne trimestrali?

Qual è l'obiettivo (ambito) per le scansioni interne?

La nostra configurazione:

  • Router con modem (WAN1 / LAN1), DMZ, alcuni computer dell'ufficio sono collegati lì
  • Router wireless, punto di accesso, che in effetti è un bridge per LAN1, alcuni computer dell'ufficio sono collegati tramite questo router
  • Router dedicato - installato solo per soddisfare i requisiti PCI (LAN2, connesso a WLAN1 / LAN1)
  • Server dedicato di store store www - rete completamente isolata, in una VLAN completamente isolata (collegata al router dedicato LAN2).

Fondamentalmente solo la porta 443 viene aperta e inoltrata al server. La rete è completamente isolata. Possiamo gestire il nostro router dedicato solo tramite cavo seriale o interfaccia eth2 preparata solo per la gestione (nessun dispositivo è collegato lì)

Non riesco nemmeno a recuperare l'IP del cliente su www store server (dove vengono elaborati i dati del titolare della carta)

La mia domanda è: Quale rete devo scannerizzare? Devo eseguire la scansione di tutto? Devo scannerizzare anche la rete dell'ufficio? (che a mio parere sarebbe ridicolo).

La mia preoccupazione è che abbiamo computer da ufficio che ovviamente non passeranno scansioni interne su LAN1 - ad esempio, ho l'installazione WAMP sul mio computer, ma non mi interessa davvero che la mia installazione WAMP abbia alcune vulnerabilità.

Il nostro titolare della carta di credito. (che è il nostro server) è dietro tre firewall ... (LAN1, LAN2, iptables)

L'unico modo in cui posso accedere alla console del server è ... accesso diretto, fisico (che è un po 'fastidioso.) Tutte le porte tranne TCP 443 HTTPS sono chiuse. SSH è disabilitato.

Conoscendo tutte le password di root non c'è modo di connettersi alla scheda env. server. (il nostro negozio)

Modifica: eseguita la scansione interna (utilizzando strumenti asv), ha riscontrato problemi di vulnerabilità nella stampante !!! - è ridicolo

    
posta user21886 29.03.2013 - 13:47
fonte

2 risposte

2

Questo è un problema con cui ho avuto a che fare. La migliore risposta che posso suggerire è di ottenere il kit di strumenti per lo scope PCI da link . Qualsiasi livello 1 o 2 è incluso nella scansione.

    
risposta data 29.03.2013 - 17:20
fonte
0

La prima cosa da fare è ricontrollare che dovresti usare SAQ C, che è fondamentale perché puoi perdere un sacco di tempo.

Successivamente è necessario eseguire la cosiddetta scoping, sono disponibili alcuni dettagli nella "Guida di riferimento rapido PCI-DSS-C". Fondamentalmente è necessario definire il proprio Data Environment (CDE) del titolare della carta. Tieni presente che non si tratta di archiviazione dei dati dei titolari di carte come indicato da SAQ C:

"Merchants with payment application systems connected to the Internet, **no electronic 
cardholder data storage**" 

Quindi, se le macchine dell'ufficio possono accedere ai dati del titolare della carta (come elencato nella stessa guida di riferimento - sezione 3.6) questo include il numero di conto primario (PAN) e la data di scadenza ecc. allora questo fa parte del tuo CDE e dovrebbe essere scansionata.

    
risposta data 30.03.2013 - 18:18
fonte

Leggi altre domande sui tag