Cumplimiento con PCI-DSS fallido | Presentar evidencia

6

Uno de nuestros servidores web que es administrado por un proveedor de servicios (completamente bajo su control, no tenemos acceso de inicio de sesión) acaba de fallar la vulnerabilidad PCI-DSS. escaneo por TrustKeeper. El escaneo de vulnerabilidades detectó la caja como un sistema operativo Windows Server 2003 SP1 (extremadamente desactualizado).

Envié el informe a nuestro proveedor de servicios (junto con un correo electrónico enojado). Respondieron con una simple captura de pantalla recortada de la pantalla de sysinfo que muestra ALGUNAS ventanas 2k3 sp2 box. No tengo forma de saber si esa captura de pantalla es de nuestra caja o no, y según la historia con el proveedor, me inclino a pensar que solo la tomaron de otra de sus cajas para cubrir sus extremos.

Sin AD o acceso de inicio de sesión, es imposible para mí saber con seguridad el nivel de SP de este cuadro.

Pregunta:

  1. ¿Es suficiente una simple captura de pantalla de la página sysinfo para la evidencia de cumplimiento de PCI-DSS? No puedo imaginar que sea como se dijo, podría ser desde cualquier sistema. Pero entonces, ¿cómo obtener evidencia de este cuadro que muestra que realmente es nuestro cuadro y realmente es SP2?

  2. Cómo verificar de forma remota el nivel de SP de un cuadro. No he tenido suerte con nmap ... ¿hay otra forma de demostrar que no está actualizado?

Consulte esta Server Fault para mi OP.

    
pregunta SnakeDoc 09.05.2013 - 02:57
fuente

3 respuestas

4

Para que se acepte dicha evidencia, debe ser posible vincular la información en la imagen que muestra el nivel del Service Pack al sistema (dirección IP / URL) que está escaneando Trustkeeper. Una captura de pantalla que tenga diferentes ventanas abiertas que muestren que estás proporcionando la evidencia adecuada para el sistema correcto debería hacer el truco.

¿Sabe si el proveedor de servicios está realizando análisis de vulnerabilidad interna en esos sistemas? Quizás puedas acceder a esos resultados.

Puede intentar ejecutar una herramienta en línea como enlace aunque es poco probable que obtenga un resultado diferente. a nmap.

Como habrá estado ejecutando análisis de vulnerabilidades externas cada 3 meses, ¿ha fallado este sistema antes?

    
respondido por el AndyMac 09.05.2013 - 08:37
fuente
2

Honestamente, según lo que se ha discutido en los comentarios, esto no suena como un proveedor de alojamiento en el que confía en absoluto . Si ese es realmente el caso, el auditor de PCI tenía razón al fallarle en este conteo. ¿Por qué confías en ellos con datos PCI?

Debe mover estos activos de manera interna o moverlos a un proveedor diferente en el que confíe.

Además, en lugar de ejecutarse en un entorno compartido sobre el que no tiene control, obtenga un buzón dedicado o, al menos, un VPS con acceso raíz. Aún puede pagarle a alguien para que lo administre (servicios administrados o lo que sea), pero USTED también puede verificar que el proveedor de servicios administrados está haciendo su trabajo de vez en cuando y no está haciendo nada peligroso.

Sí, según sus comentarios, parece que han tratado de cubrir sus culos y en el proceso han creado un dolor de cabeza para usted. La mejor solución a largo plazo es mudarse, porque si de hecho lo están haciendo, están reduciendo la seguridad de los datos de TU y de tus CLIENTES .

    
respondido por el NULLZ 10.05.2013 - 02:06
fuente
-1

Si tiene que tener este tipo de interacción con el Proveedor de servicios, tiene un mayor riesgo de seguridad que Windows Server 2003 SP1 ... ese mayor riesgo de seguridad ES el proveedor de seguridad.

Dispáralos lo más rápido que puedas y encuentra otro.

    
respondido por el Tek Tengu 09.05.2013 - 12:14
fuente

Lea otras preguntas en las etiquetas