Я новичок в PCI, мы только что заплатили за сканирование PCI Trustkeeper, и вот некоторые из результатов (только названия уязвимостей):
Мы платим за услугу VPS, и у меня следующие вопросы: какие уязвимости могут / должны / должны быть исправлены нами (как мы можем их исправить ???), а какие - хостинг-провайдером?
Заранее спасибо!
Как правило, вы никогда не пройдете проверку соответствия PCI на VPS. Обычно это происходит из-за общего хранилища.
У вас должны быть правила и условия для вашего хостинга, которые должны сузить круг тех, кто за что отвечает. Это или обращение в службу технической поддержки в компании должно прояснить это.
Если вы устанавливаете службы, скорее всего, это ваша ответственность. Если они предоставили указанные услуги, а у вас нет доступа, то это их. Однако они могут отказать вам в помощи со всеми из них. И если соответствие PCI является обязательным для того, что вы делаете, вам может потребоваться найти другого поставщика.
Доступность БД
Отключите доступ из Интернета к службе базы данных.
SSLv2 Поддерживается
Отключите SSLv2. Точные действия зависят от того, на каком веб-сервере имеется уязвимость.
Множество уязвимостей, связанных с BIND (патчами)
Множество уязвимостей, связанных с OpenSSL (патчами)
Множество уязвимостей, связанных с Apache Tomcat (патчами)
Патч. Точные шаги зависят от вашей ОС.
Проверка имени пользователя HTTP-сервера
Требуется дополнительная информация о точном запросе / ответе, с которым возникла проблема при сканировании.
Все эти проблемы будут в вашем суде для типичной схемы VPS, но, как сказал Майк, сканирование уязвимостей - это одно, но вы вряд ли получите истинное соответствие PCI в среде VPS, которая не была построена специально на PCI. .