(Editado y añadido más información al final de esta pregunta)
Me encargaron de "probar" los servidores web de Linux de un cliente, ejecutando cPanel (que son de su propiedad y en su mayoría administran, hasta que me piden ayuda de vez en cuando) para el cumplimiento de PCI. El cliente no está haciendo nada con el comercio electrónico ahora, pero le gustaría considerarlo en el futuro.
No poseo ningún certificado de seguridad, pero regresé a mi alma mater el pasado otoño para un curso de un semestre en Seguridad de TI, en el que el enfoque del curso fueron los 10 dominios incluidos en la certificación CISSP. También he investigado sobre el cumplimiento de PCI en el pasado (y en un caso hace un par de años, tuve que reprender a un pequeño procesador de pagos por pedirme que permitiera a uno de mis clientes almacenar datos de tarjetas de crédito en formato de texto sin formato en una servidor que gestioné).
Estoy basando mis recomendaciones para mi cliente actual de ese curso, así como de la investigación que he realizado sobre el cumplimiento de PCI.
He descargado el Cuestionario de autoevaluación C-VT del sitio web de estándares de seguridad de PCI, y tengo También descargué el documento Navigating PCI DSS v2.0.
Dicho esto, estoy más interesado en las pruebas (o en las listas de verificación) del servidor real que puedo realizar. Descubrí que McAfee y cPanel tienen un complemento de cPanel (gratis) que Permite hasta 4 exploraciones al año. También he encontrado un par de exploraciones PCI gratuitas externas ( aquí y aquí ).
Desconfío de las exploraciones "gratuitas" que hay, especialmente si no conoce a la organización detrás de la exploración. Sin embargo, mi cliente, comprensiblemente, no quiere pagar por un escaneo (que no sea mi tiempo) porque en realidad no está buscando el cumplimiento o haciendo comercio electrónico en este momento (solo quieren estar preparados). También son una organización sin fines de lucro, por lo que no tienen mucho efectivo.
Tengo 3 preguntas relacionadas:
- ¿Hay algún análisis "gratuito" que recomiende o no para probar un servidor?
- ¿Tiene alguna idea sobre el complemento de McAfee para cPanel?
- ¿Hay alguna lista de verificación (aparte de los Documentos PDF disponibles en pcisecuritystandards.org ) que puedo usar para realizar una "autoprueba" en el servidor y prueba manualmente para el cumplimiento de PCI?
Editar para obtener más información
Basado en los comentarios a continuación en forma de respuestas y preguntas, me gustaría aclarar algunas cosas. El cliente no está pasando por ninguna auditoría de seguridad oficial o prueba de conformidad con PCI. Simplemente les gustaría tener una buena idea de lo que están haciendo bien, qué es lo que necesita y en qué deberían centrarse en el futuro si deciden procesar las transacciones a través de su servidor.
Elegí el C-VT, porque leí esto en su introducción:
Terminal virtual basado en web, sin almacenamiento electrónico de datos de titulares de tarjetas
Si los escucho bien, supongo que no, y el C-VT no tiene nada que ver con los sitios web, sino que tiene que ver con los terminales CC reales. Voy a echar un vistazo a SAQ-D. Gracias por esa sugerencia.
Gracias por las respuestas hasta ahora. (Fin de edición)