Autopruebas para el cumplimiento de PCI del servidor cPanel

Navega tus respuestas
3

(Editado y añadido más información al final de esta pregunta)

Me encargaron de "probar" los servidores web de Linux de un cliente, ejecutando cPanel (que son de su propiedad y en su mayoría administran, hasta que me piden ayuda de vez en cuando) para el cumplimiento de PCI. El cliente no está haciendo nada con el comercio electrónico ahora, pero le gustaría considerarlo en el futuro.

No poseo ningún certificado de seguridad, pero regresé a mi alma mater el pasado otoño para un curso de un semestre en Seguridad de TI, en el que el enfoque del curso fueron los 10 dominios incluidos en la certificación CISSP. También he investigado sobre el cumplimiento de PCI en el pasado (y en un caso hace un par de años, tuve que reprender a un pequeño procesador de pagos por pedirme que permitiera a uno de mis clientes almacenar datos de tarjetas de crédito en formato de texto sin formato en una servidor que gestioné).

Estoy basando mis recomendaciones para mi cliente actual de ese curso, así como de la investigación que he realizado sobre el cumplimiento de PCI.

He descargado el Cuestionario de autoevaluación C-VT del sitio web de estándares de seguridad de PCI, y tengo También descargué el documento Navigating PCI DSS v2.0.

Dicho esto, estoy más interesado en las pruebas (o en las listas de verificación) del servidor real que puedo realizar. Descubrí que McAfee y cPanel tienen un complemento de cPanel (gratis) que Permite hasta 4 exploraciones al año. También he encontrado un par de exploraciones PCI gratuitas externas ( aquí y aquí ).

Desconfío de las exploraciones "gratuitas" que hay, especialmente si no conoce a la organización detrás de la exploración. Sin embargo, mi cliente, comprensiblemente, no quiere pagar por un escaneo (que no sea mi tiempo) porque en realidad no está buscando el cumplimiento o haciendo comercio electrónico en este momento (solo quieren estar preparados). También son una organización sin fines de lucro, por lo que no tienen mucho efectivo.

Tengo 3 preguntas relacionadas:

  1. ¿Hay algún análisis "gratuito" que recomiende o no para probar un servidor?
  2. ¿Tiene alguna idea sobre el complemento de McAfee para cPanel?
  3. ¿Hay alguna lista de verificación (aparte de los Documentos PDF disponibles en pcisecuritystandards.org ) que puedo usar para realizar una "autoprueba" en el servidor y prueba manualmente para el cumplimiento de PCI?

Editar para obtener más información

Basado en los comentarios a continuación en forma de respuestas y preguntas, me gustaría aclarar algunas cosas. El cliente no está pasando por ninguna auditoría de seguridad oficial o prueba de conformidad con PCI. Simplemente les gustaría tener una buena idea de lo que están haciendo bien, qué es lo que necesita y en qué deberían centrarse en el futuro si deciden procesar las transacciones a través de su servidor.

Elegí el C-VT, porque leí esto en su introducción:

  

Terminal virtual basado en web, sin almacenamiento electrónico de datos de titulares de tarjetas

Si los escucho bien, supongo que no, y el C-VT no tiene nada que ver con los sitios web, sino que tiene que ver con los terminales CC reales. Voy a echar un vistazo a SAQ-D. Gracias por esa sugerencia.

Gracias por las respuestas hasta ahora. (Fin de edición)

    
pregunta David W 02.05.2013 - 18:10
fuente

3 respuestas

4

En términos de escanear el sistema para verificar su cumplimiento, se trata de ejecutar exploraciones de vulnerabilidad y ver si se pasan externamente y si el riesgo es aceptable internamente. En términos de si el sistema está configurado de manera compatible, se necesita más trabajo según la siguiente lista:

  • ¿Se limita la red a los protocolos requeridos para fines comerciales sin protocolos inseguros en uso para inicios de sesión, como telnet?
  • ¿Está el sistema endurecido según un estándar de la industria (SANS, NIST, CIS)?
  • ¿Está instalado el HTTPS (transmisión de datos confidenciales a través de un canal encriptado)?
  • ¿AV está instalado y actualizado (no es realmente necesario en * nix)?
  • ¿El sistema está actualizado?
  • ¿Se adhiere el desarrollo a un SDLC con desarrolladores capacitados?
  • ¿Se verifica la autorización del usuario y se basa en roles?
  • ¿Se aplican y aplican las políticas de contraseña (longitud, complejidad, antigüedad, etc.)?
  • ¿Se está iniciando sesión para la autenticación, la supervisión de integridad de archivos, la sincronización NTP, IDS / IPS, las pruebas de penetración?
  • ¿Hay mucha documentación sobre políticas?

Si desea realizar una comprobación básica, refuerce el sistema y ejecute un análisis de vulnerabilidad. Si necesita prepararse para el cumplimiento, deberá seguir cada uno de los puntos anteriores y más, dependiendo de los requisitos de cumplimiento (es decir, SAQ / evaluación completa / cual SAQ según el canal de pago, etc.)

En términos de sus 3 preguntas específicas ...

Los escaneos de vulnerabilidad son bastante similares, ya que escanean y comprueban vulnerabilidades y medidas contra la puntuación de CVSS. Nessus es bueno, pero hay muchos.

El complemento de McAfee (creo) se basa en sus elementos de Foundstone y es bueno.

En términos de listas de verificación, es una cuestión de revisar la lista anterior o el estándar PCI o simplemente considerar las mejores prácticas.

    
respondido por el AndyMac 02.05.2013 - 18:50
fuente
2

No estoy seguro de qué es una autoprueba, sin embargo, no es necesario que pague nada por las herramientas para realizar pruebas contra los estándares PCI. Hay un montón de herramientas gratuitas por ahí, incluso hay sistemas de seguridad y sistemas forenses específicos que no cuestan absolutamente nada. Así que obtenga una copia de la distro Backtrack o Kali OS y ejecútela desde un USB o como una máquina virtual y vaya a la ciudad con Nessus u otra herramienta gratuita de evaluación de vulnerabilidades.

    
respondido por el GdD 02.05.2013 - 18:23
fuente
1

¿Por qué estarías probando CPanel para el cumplimiento de PCI? ¿Cómo llegó a llegar a C-VT como el SAQ aplicable?

¿Qué requisito de PCI se está haciendo para cumplir?

Una cosa es segura: CPanel NUNCA debe exponerse a la Internet abierta. Por lo tanto, si lo está escaneando desde la red, puede olvidar el cumplimiento de PCI.

Hago PCI para ganarme la vida.

    
respondido por el Tracy Reed 08.05.2013 - 03:17
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los requisitos para detectar paquetes UDP en una red inalámbrica Ad-Hoc? Mecanismo anti-CSRF con encabezado de referencia