Pci-dss на "бананах"

[Vinni]

djb не панацея :о)) Тем более снаружи ...

А что есть приватные эксплойты под него? :smile2: Про публичные я что-то не слышал и в списке уязвимых DNS-серверов он не упоминался.

 

И еще цитата из сегодняшнего CRYPTO-GRAM Б. Шнейера

 

Kaminsky's vulnerability is a perfect example of this. Years ago, cryptographer Daniel J. Bernstein looked at DNS security and decided that Source Port Randomization was a smart design choice. That's exactly the work-around being rolled out now following Kaminsky's discovery.

Bernstein didn't discover Kaminsky's attack; instead, he saw a general class of attacks and realized that this enhancement could protect against them. Consequently, the DNS program he wrote in 2000, djbdns, doesn't need to be patched; it's already immune to Kaminsky's attack.

[IronJohn]

при наличии DNS сервера тест пройти реально.

Весь вопрос в том, чтобы под scope подвести только те сервисы, которые непосредственно участвуют в процессе обработки платежных карт или технологически с ним завазаны. Как, к примеру, мыло - этот сервис может использоваться в сегменте обработки платежных карт, если там сидят люди или ПО настроено таким образом, что все алерты шлет по мылу. Другое дело, если в сегменте нет мыльного сервера, нет людей, постоянно работающих в этом сегменте (сотрудники, обслуживающие сегмент Production, могут физически находиться в другом сегменте сети, а в базы и ПО обработки ходить через транспортные приложения).

В первом случае мыло попадает под scope, во втором - нет.

Ввиду того, что защита сегмента платежных карт является довольно дорогим занятием (стоит упомянуть одно из главных требований - на одном сервере должна выполняться только одна роль! К примеру только БД или только софт, анализирующий транзакции) следует сокращать список ресурсов. попадающих под проверку.

Такой подход позволит здорово съэкономить денег на трех сканированиях, продолжительности аудита, т.к. аудиторы оценивают объем работы по каким -то своим нормативам.

[Vinni]

еще один пример актуальности PCI-DSS :smile1: И пример TJX их ничему не научил...

 

--Credit Card Data Stolen from Louisiana and Mississippi Restaurants (August 18, 2008) US Federal law enforcement authorities are searching for the culprits behind a rash of credit card data thefts from restaurants in Louisiana and Mississippi. The thieves apparently sought out businesses using unsecured wireless networks to steal the information that has been used to commit fraud totaling more than US $1 million. The group tried to sell the information on the Internet. US Attorney David Dugas said the case is likely to involve individuals overseas, as have other cases

recently in the news. US Secret Service agents and representatives

from Visa were scheduled to conduct a meeting for area restaurant owners to explain how they can protect customer data.

http://www.forbes.com/feeds/ap/2008/08/18/ap5334017.html

[Editor's Note (Honan): The fact that these credit card numbers were stolen via unsecured wireless networks highlights not only the failure of technology to secure the data in this case, but also the failure of management to realise their ethical responsibilities and their obligations with regards to the PCI DSS standard. Unfortunately this failure is a symptom I regularly see amongst many small to medium businesses. ]

[Loo]

Пожалуй, пора вступиться и мне.

Как человек, который уже дважды проходил аудит PCI DSS в разных редакциях 1.1 и 1.2. В октябре выходит новая версия 1.3 - более серьезная.

Вот расскажите плиз, как Вы проходили аудит по 1.2 если оно только в Октябре 2008 выйдет? Ну ануансмент в мае был, это понятно, а сам стандарт в октябре ... "Если повар нам не врет" -(с)

[IronJohn]

Вот расскажите плиз, как Вы проходили аудит по 1.2 если оно только в Октябре 2008 выйдет? Ну ануансмент в мае был, это понятно, а сам стандарт в октябре ... "Если повар нам не врет" -(с)

 

в октябре выйдет 1.2 - Вы правы, поторопился. Были две версии 1.0 и 1.1, я нумерацию начал с 1.1