Um auditor de segurança para nossos servidores exigiu o seguinte em duas semanas: Uma lista de nomes de usuário atuais e senhas em texto sem formatação para todas as contas de usuário em todos os servidores Uma lista de todas as alterações de senha dos últimos seis meses, novamente em texto sem...
Nosso processador de cartão de crédito notificou-nos recentemente que em 30 de junho de 2016 precisaremos desativar o TLS 1.0 para permanecer em conformidade com o PCI . Tentei ser proativo desativando o TLS 1.0 em nossa máquina com Windows Server 2008 R2, apenas para descobrir que, imediatamente...
Durante uma auditoria recente, fomos solicitados a instalar software antivírus em nossos servidores DNS que executam o Linux (bind9). Os servidores não foram comprometidos durante o teste de penetração, mas essa foi uma das recomendações fornecidas. Normalmente, o software antivírus linux é...
Alguém sabe por que não consigo desativar o tls 1.0 e o tls1.1 atualizando a configuração para isso. SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 Depois de fazer isso, recarrego o apache, faço uma varredura ssl usando a ferramenta ssllabs ou comodo ssl, e ele ainda diz que os tls 1.1 e 1.0 são...
Eu tenho um NGINX atuando como um proxy reverso para nossos sites e está funcionando muito bem. Para os sites que precisam de ssl, segui o raymii.org para garantir uma pontuação o mais forte possível no SSLLabs. Um dos sites precisa estar em conformidade com o PCI DSS, mas com base na varredura...
Um de nossos clientes é uma empresa PCI de nível 1 e seus auditores fizeram uma sugestão em relação a nós como administradores do sistema e nossos direitos de acesso. Administramos sua infraestrutura totalmente baseada em Windows de aproximadamente 700 desktops / 80 servidores / 10 controladores...
Atualmente, processamos, mas não armazenamos, dados do cartão de crédito. Nós autorizamos os cartões por meio de um aplicativo desenvolvido automaticamente usando a API authorize.net. Se possível, gostaríamos de limitar todos os requisitos do PCI que afetam nossos servidores (como a instalação do...
Com exceção de todas as perguntas frequentes, documentos e declarações publicados pela AWS, algum comerciante de nível 1 já atingiu a conformidade com a PCI na AWS? Estamos avaliando a transferência de alguns de nossos serviços para o EC2 / VPC, mas nosso auditor está dizendo que a AWS não cooperou...
Existe uma maneira no Windows de verificar que diz Boletim de Segurança MS**-***ou CVE-****-*****foi corrigido? por exemplo, algo semelhante ao da RedHatrpm -q --changelog service Windows 2008 R2
Acabei de testar meu site em https://www.ssllabs.com/ e dizia que o SSLv2 é inseguro e devo desativá-lo junto com os fracos Cipher Suites. Como posso desativar isso? Eu tentei o seguinte, mas não está funcionando. Fui /etc/httpd/conf.d/ssl.confpor ftp. Adicionado SSLProtocol -ALL +SSLv3...