Qual è la migliore distribuzione di Linux per ottenere la conformità PCI-DSS?
Sto usando Debian 8 perché penso che Debian sia una delle versioni più stabili, ma sembra non essere abbastanza, sto lottando con molte vulnerabilità.
Inoltre, se qualcuno potesse pubblicare cosa sarebbe meglio se apache vs nginx in combinazione con la distro scelta, lo apprezzerei molto.
Qualunque versione tu decida di utilizzare dovrai implementare un lock-down formale e un programma di manutenzione di sicurezza per i tuoi sistemi e non ci sarà molta differenza tra le versioni principali (Centos, Debian o Ubuntu per esempio). Hanno tutti bisogno di un'attenta installazione, blocco e patch / monitoraggio / gestione.
Ho un certo numero di client che usano con successo Centos e Ubuntu (! 4.10 LTS) che, insieme ai corretti sistemi di configurazione, patching e di monitoraggio, passano ogni anno l'audit PCS-DSS di livello 1 senza problemi.
Apache e Nginx andranno bene per le applicazioni PCI-DSS purché siano anche patchati, configurati in modo sicuro e monitorati, ecc. Non è proprio il software (entro limiti ragionevoli) ma il modo in cui li usi è importante per PCI.
Puoi iniziare il tuo processo per diventare conforme allo standard PCI-DSS scaricando lo standard da qui
Dopo questo è consigliabile visitare Center for Internet Security ( CIS ) per scaricare alcuni benchmark sulla tua distribuzione
E in internet puoi trovare molti documenti, discutere il tuo caso, ad esempio questo
P.S. La mia modesta opinione è di scegliere una distribuzione commerciale come RHEL o SuSE per ottenere supporto e assistenza professionale quando si implementa PCI-DSS