标签: pci-compliance

我被告知,expose_php = On在我的php.ini中存在安全问题,因此不符合PCI标准.

到目前为止,我对它的研究表明,关闭它是低风险,并且基本上会停止在标题中发回PHP版本,但是我想知道是否有可能在此更改背后出现任何问题.

我想到的潜在问题是第三方服务(支付提供商,电子邮件跟踪系统,视频流API),它们希望您使用标头来响应,表明您运行的是某个版本的PHP,可能超过某个版本？

这应该是一个无缝的变化还是有可能出现问题？

在数据库中存储信用卡号码时要遵循哪些PCI规则？

1)这是允许的吗？2)如果是这样,我们必须遵循哪些规则？

我正在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 我应该在这里阅读哪个文件？

如果我依靠braintree进行支付处理,我仍然可以存储哪些信用卡信息,同时仍然符合PCI标准？

我问的原因是,作为一个简单的优化,如果客户已经用信用卡从我的商店购买了东西,我可以向他们展示他们信用卡的最后4位数和卡片类型,而无需制作对BrainTree的API调用.如果他们想要更换卡片或进行购买,我必须拨打电话,但对于那一页,我不会.

问题是,我可以存储:

• 信用卡的最后4位数字
• 和卡类型
• 并且可能是持卡人的姓名

或者哪里有PCI合规列表"做与否"我可以查看？

OS X 10.7.4上现有的openssh版本是SSH-2.0-OpenSSH_5.6,不幸的是,它不符合PCI标准.所以,我需要升级它,我一直试图用Homebrew这样做.

到目前为止,我所做的是:

brew tap homebrew/dupes
brew install openssh

没问题,一切顺利,现在当我尝试时,which ssh我得到:

/usr/local/bin/ssh

这看起来很好,也which sshd给出了:

/usr/local/sbin/sshd

并ssh -v适当报告:

OpenSSH_5.9p1, OpenSSL 0.9.8r 8 Feb 2011

到现在为止还挺好.但是这里我不在我的元素之内.端口22仍在使用操作系统安装版本,也就是说telnet hostname 22报告:

SSH-2.0-OpenSSH_5.6

我试过用/System/Library/LaunchDaemons/ssh.plist乱搞,没有运气.

所以,我的问题是(可能与重要性相反):

1. 如何让我的Homebrew安装openssh成为侦听端口22的人？
2. 如果我这样做,是否会导致与OS X或其他软件发生冲突？
3. 我一开始就认为这是一个合理的方式吗？
4. 我不是在想我应该做的事情吗？
5. 这是一个可怕的想法吗？

我很沮丧没有通过PCI合规性扫描并且需要弄明白这一点,坦率地说我正在考虑将我服务器上的所有电子商务网站更改为stripe.com,但我想弄明白这一点. .另外,有谁知道openssh是否会在Mountain Lion升级？

编辑:这是我在/System/Library/LaunchDaemons/ssh.plist中尝试的内容:

我只编辑了一行,改变了:

<string>/usr/sbin/sshd</string>

至

<string>/usr/local/sbin/sshd</string>

然后我sudo kill -HUP 1按照下面@ the-paul的建议尝试,并重新启动Mac.

从遥控器进行远程登录仍可显示 SSH-2.0-OpenSSH_5.6

我的整个ssh.plist文件现在看起来像这样:http://pastie.org/private/qnhofuxomawjdypp9wgaq

我正在尝试让运行Apache 2.2.17的Fedora 14服务器通过McAfee ScanAlert的PCI-DSS合规性扫描.我第一次尝试使用ssl.conf中设置的默认SSLCipherSuite和SSLProtocol指令...

SSLProtocol    ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

未能引用弱密码已启用.使用ssllabs和serversniff工具进行扫描后发现,40位和56位密钥确实可用.

然后我改为......

SSLProtocol -ALL +SSLv3 +TLSv1

并尝试了各种网站上报告的所有以下字符串,以便从各种供应商处传递PCI扫描...

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

我在更新后重启apache,apachectl configtest说我的语法没问题.随后的ScanAlert扫描全部失败,其他扫描工具继续显示40和56位密码可用.我已经尝试将SSLProtocol和SSLCipherSuite直接添加到httpd.conf中的VirtualHost并且没有帮助.

它实际上感觉像某个地方覆盖了这些设置,但除了ssl.conf之外我找不到任何设置这些值的地方.

如果有人能够提供已经通过最近PCI扫描的已知良好的SSLCipherSuite,那么它将有助于追踪我的问题.

谢谢.

根据PCI,我们需要根据http://blog.securitymetrics.com/2015/04/pci-3-1-ssl-and-从2016年6月30日起停止使用SSL和TLS(在某些实施中为1.0和1.1). tls.html

我们在.Net 3.5上构建了一个客户端应用程序,它使用HttpWebRequest对象连接到Web服务.

根据MSDN SecurityProtocolType(https://msdn.microsoft.com/en-us/library/system.net.securityprotocoltype ( v= vs.110).aspx)仅支持.Net Framework 4上的Ssl3和Tls(1.0)或下面.仅在.Net Framework 4.5/4.6中支持Tls11和Tls12

这是否意味着在Cardholder数据环境中并且完全符合pci标准,我们需要将所有应用程序升级到.Net 4.5/4.6并且只允许Tls12 SecurityProtocolType使用HttpWebRequest连接到外部Web服务？

加密SQL数据库中的某些敏感或个人身份识别数据(根据PCI,HIPAA或其他适用的合规标准)的"最佳实践"是什么？

这里有很多关于解决方案的个别方面的问题,但我没有看到任何在高层次上讨论该方法的问题.环顾了一段时间后,我想出了以下内容:

• 使用CryptoAPI和Rijndael
• 生成IV并将其与加密数据一起存储
• 使用DPAPI(机器范围)来"保护"对称密钥
• 将对称密钥存储在注册表或文件或数据库中,拆分密钥并将部件存储在多个位置以提供额外保护
• 不要解密数据,除非确实需要,即不是从数据库中读取.相反,将密文保存在内存中.

这够了吗？过时了吗？审计,安全吗？鲁莽？

我们正在为拥有自己的支付处理解决方案的客户开发移动应用程序(iOS和Android).该应用程序面向公众,将由个人消费者在自己的手机上使用.

该应用程序必须通过SOAP API与支付处理解决方案连接.我们需要接受用户支付卡详细信息的输入,并将其传递给该API.我们无法将其网站嵌入iframe或类似内容; 我们必须使用这个特定的API,这意味着我们的应用程序将不可避免地(简要地)拥有和处理用户的支付卡详细信息.

所有应用程序需要做的是收集详细信息(通过让用户在手机的键盘上点击它们),通过API发送它们,然后尽可能快地丢弃它们.它不会将数据存储在完成事务所需的时间之外,并且它不会将数据发送到客户端服务器以外的任何地方.我们永远不会将数据存储在我们自己的服务器上,我们会小心不要将其写入日志中,通常我们会将其视为放射性废物,因为它在应用程序拥有的短暂时间内.

我们可以安全地假设(至少现在)客户端的系统已经做了他们需要做的关于PCI DSS的任何事情.当然,应用程序和支付服务器之间的流量是加密的.

我们很难掌握PCI DSS需要做的事情,我们非常感谢能帮助我们开始的任何指示.我们非常乐意(确实希望)使用顾问帮助我们实现合规 - 但我们甚至不知道我们会与谁交谈.我们在网上很容易找到的所有东西(包括来自PCI本身的材料)似乎与微妙的不同场景有关,或者建议我们通过使用类似iframe的东西来回避问题,这对我们来说不是一个选择.

说实话,我们很惊讶它找到一些明确的指针是多么困难.很多应用都会处理卡片细节!这肯定是一个常见的问题.

所以,我们的问题:

1. 我们应该在哪里获得与我们的特定情况相关的专家建议？
2. 完全非正式地,并且基于我们将在稍后获得适当的合格建议的理解......我们应该期待多少噩梦？我们想知道是否需要担心手机上安装的键盘记录器.是真的如此,还是我们走得太远了？
3. 我们缺少一个神奇的子弹 - 例如,一个已经知道合规的库？

非常感谢您给我们的任何帮助.

我有这个想法,但我不确定它是否符合PCI标准.我是PCI合规领域的新手,很想知道这种情况是否违反了PCI.

那么,让我们设置场景.A公司符合PCI标准,并且在https上有一个Web服务,在支付处理方面暴露了一些功能.B公司不合规,但他们的网站是安全的.

以下是该方案的步骤.

1. B的网站通过服务器端代码联系A的网络服务.此服务发回加密的验证令牌.
2. B将此令牌注入包含用于接受信用卡信息的表单的页面中.
3. 用户在B的网站上输入他们的信用卡信息.
4. 表单信息以及令牌通过ajax调用发送到A的Web服务.
5. A的Web服务处理数据并吐出状态(已批准/拒绝/等)

问题是,由于javascript直接从用户的机器转移到公司A的兼容服务器,它是否符合PCI标准？我很想知道这个领域的专家是怎么想的.

我有一台运行Ubuntu 14.04的服务器,但我有PCI要求的问题.我已经安装在我的服务器OpenSSH 6.6p1中,然后我将其升级到OpenSSH 7.2p,直接从OpenSSH的存储库编译make和make install代码,但似乎有些东西被打破,因为我检查后继续获取旧版本dpkg -l openssh\*:

ii openssh-client 1:6.6p1-2ubunt amd64 secure shell (SSH) client, 
ii openssh-server 1:6.6p1-2ubunt amd64 secure shell (SSH) server,
ii openssh-sftp-serve 1:6.6p1-2ubunt amd64 secure shell (SSH) sftp server 

PCI扫描仪继续报告我必须安装最新版本的OpenSSH的相同问题.

这是该问题的CVI ID:CVE-2016-3115