Un auditor de seguridad para nuestros servidores ha exigido lo siguiente en dos semanas: Una lista de nombres de usuario actuales y contraseñas de texto sin formato para todas las cuentas de usuario en todos los servidores Una lista de todos los cambios de contraseña de los últimos seis meses,...
Nuestro procesador de tarjetas de crédito nos notificó recientemente que, a partir del 30 de junio de 2016, tendremos que desactivar TLS 1.0 para seguir cumpliendo con PCI . Intenté ser proactivo deshabilitando TLS 1.0 en nuestra máquina Windows Server 2008 R2, solo para descubrir que...
Durante una auditoría reciente, se nos solicitó instalar software antivirus en nuestros servidores DNS que ejecutan Linux (bind9). Los servidores no se vieron comprometidos durante las pruebas de penetración, pero esta fue una de las recomendaciones dadas. Por lo general, el software antivirus de...
¿Alguien sabe por qué no puedo desactivar tls 1.0 y tls1.1 actualizando la configuración a esto? SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 Después de hacer esto, recargo apache, hago un escaneo SSL usando ssllabs o comodo ssl tool, y todavía dice que los tls 1.1 y 1.0 son compatibles. Me...
Tengo un NGINX que actúa como proxy inverso de nuestros sitios y funciona muy bien. Para los sitios que necesitan ssl, seguí a raymii.org para asegurarme de tener un puntaje SSLLabs tan fuerte como sea posible. Uno de los sitios debe ser compatible con PCI DSS pero basado en el último escaneo...
Uno de nuestros clientes es una empresa PCI de nivel 1, y sus auditores nos han hecho una sugerencia con respecto a nosotros como Administradores del sistema y nuestros derechos de acceso. Administramos su infraestructura completamente basada en Windows de aproximadamente 700 computadoras de...
Actualmente procesamos, pero no almacenamos, datos de tarjetas de crédito. Autorizamos las tarjetas a través de una aplicación de desarrollo propio utilizando la API authorize.net. Si es posible, nos gustaría limitar todos los requisitos de PCI que afectan a nuestros servidores (como instalar...
Dejando a un lado todas las preguntas frecuentes, documentos y declaraciones publicadas por AWS, ¿algún comerciante de Nivel 1 realmente logró el cumplimiento de PCI en AWS? Estamos evaluando trasladar algunos de nuestros servicios a EC2 / VPC, pero nuestro auditor dice que AWS no había cooperado...
¿Hay alguna manera en Windows de verificar que diga el Boletín de seguridad MS**-***o que CVE-****-*****haya sido parcheado? por ejemplo, algo parecido a RedHat'srpm -q --changelog service Windows 2008 R2
Acabo de probar mi sitio en https://www.ssllabs.com/ y decía que SSLv2 es inseguro y que debería desactivarlo junto con Cipher Suites débiles. ¿Cómo puedo desactivar eso? Intenté lo siguiente pero no funciona. Fui a /etc/httpd/conf.d/ssl.confpor ftp. Adicional SSLProtocol -ALL +SSLv3...