Un auditeur de sécurité pour nos serveurs a demandé ce qui suit dans les deux semaines: Une liste des noms d'utilisateur actuels et des mots de passe en texte brut pour tous les comptes d'utilisateurs sur tous les serveurs Une liste de tous les changements de mot de passe des six derniers mois,...
Notre processeur de carte de crédit nous a récemment informés que, à compter du 30 juin 2016, nous devrons désactiver TLS 1.0 pour rester conforme à la norme PCI . J'ai essayé d'être proactif en désactivant TLS 1.0 sur notre ordinateur Windows Server 2008 R2, mais je me suis aperçu que,...
Lors d'un audit récent, il nous a été demandé d'installer un logiciel antivirus sur nos serveurs DNS exécutant Linux (bind9). Les serveurs n’ont pas été compromis lors des tests de pénétration, mais c’était l’une des recommandations données. Un logiciel antivirus Linux est généralement installé...
Est-ce que quelqu'un sait pourquoi je ne peux pas désactiver tls 1.0 et tls1.1 en mettant à jour la config. SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 Après cela, je recharge apache, je fais un scan ssl en utilisant ssllabs ou l'outil sod comodo, et il dit toujours que les tls 1.1 et 1.0 sont...
J'ai un NGINX agissant en tant que proxy inverse pour nos sites et fonctionne très bien. Pour les sites qui ont besoin de SSL, j'ai suivi raymii.org pour m'assurer d'avoir un score SSLLabs aussi fort que possible. L'un des sites doit être conforme à la norme PCI DSS mais sur la base de la dernière...
L'un de nos clients est une société PCI de niveau 1, et leurs auditeurs ont fait une suggestion à notre sujet en tant qu'administrateurs système et nos droits d'accès. Nous administrons leur infrastructure entièrement Windows d'environ 700 postes de travail / 80 serveurs / 10 contrôleurs de...
Nous traitons actuellement, mais ne stockons pas, les données de carte de crédit. Nous autorisons les cartes via une application auto-développée utilisant l'API authorize.net. Si possible, nous aimerions limiter toutes les exigences de PCI qui affectent nos serveurs (comme l'installation...
Mis à part toutes les FAQ, documents et déclarations publiés par AWS, un marchand de niveau 1 a-t-il déjà atteint la conformité PCI sur AWS? Nous évaluons le transfert de certains de nos services vers EC2 / VPC, mais notre auditeur dit qu'AWS n'avait pas coopéré lorsque leurs autres clients...
Existe-t-il un moyen dans Windows de vérifier que le bulletin de sécurité est correct MS**-***ou CVE-****-*****a été corrigé? par exemple quelque chose qui ressemble à RedHatrpm -q --changelog service Windows 2008 R2
Je viens de tester mon site sur https://www.ssllabs.com/ et il a dit que SSLv2 n'est pas sécurisé et que je devrais le désactiver avec les suites de chiffrement faibles. Comment puis-je désactiver cela? J'ai essayé ce qui suit mais cela ne fonctionne pas. Je suis allé /etc/httpd/conf.d/ssl.confpar...