web-dev-qa-db-ja.com

「ネットワーク」はPCIに準拠していないと言われています。サーバーすらありません!遵守する必要がありますか?

私たちはレンガとモルタルの会社です...文字通り。私たちはレンガの石工です。私たちのオフィスでは、Spectrum Businessから提供されたケーブルモデムを介してインターネットに接続します。

私たちの会計係は、Verifone vx520カードリーダーを使用してクレジットカードの支払いを処理します。イーサネット経由で接続します。クレジットカードのデータは保存されません。

PCIに準拠していないという脆弱性レポートを受け取りました。

彼らは私たちのケーブルモデムをスキャンしました。

Part 2b-1. 38173 - SSL Certificate - Signature Verification Failed Vulnerability
Part 2b-6. 38628 - SSL/TLS Server supports TLSv1.0
Part 2b-7. 38601 - SSL/TLS use of weak RC4(Arcfour) cipher (CVE-2013-2566, CVE-2015-2808)

どういう意味かわかりません。サーバーやオンラインストアなどはありません。彼らが私たちのネットワークをスキャンしたと言われました、そしてこれは彼らが見つけたものです。問題を解決するためにISPに連絡するように言われました。

ISPは、ケーブルモデムにSSL証明書をインストールする方法を教えてください。私は私たちのISPに電話しましたが、彼は私に何を言ったらよいかわかりませんでした。

カードリーダーを使用するだけで、支払いプロセッサに接続されます。

私はここで何かをすることになっていますか?これに当てはまるものはありますか?

105
user3512967

私たちのオフィスで、Spectrum Businessから提供されたケーブルモデムを介してインターネットに接続します。

私たちの会計係は、verifone vx520カードリーダーを使用してクレジットカードの支払いを処理します。イーサネット経由で接続します。クレジットカードのデータは保存されません。

あなたは SAQ B-IP に該当するように聞こえます(そして、そのニーモニックが "SAQ B-for-Brick-and-Mortar"であることをお楽しみいただけます):

SAQ B-IPは、支払いプロセッサへのIP接続を備えたスタンドアロンのPTS承認された対話型(POI)デバイスを介してのみカード会員データを処理する加盟店に適用される要件に対処するために開発されました

誰かがあなたの既知のIPアドレスで外部ASV(「承認済みスキャンベンダー」)スキャンを実行し、ケーブルモデムが当然のことながらスナッフに達していないことを発見したようです。

ここで何かするのでしょうか?これに当てはまるものはありますか?

はい、これはあなたと他の多くのことに当てはまりますが、それらすべては上記の自己評価アンケートで概説されています。また、他のオフィスシステム(デスクトップ、プリンターなど)もそのケーブルモデムの背後にある同じネットワーク上にある場合、SAQの要件がそれらにも適用されます。パッチ適用やアクセス制御など。

現時点では、ISPとの連携を続ける必要があります。モデムを更新するか、アップグレードするか、インターネットからの接続の受け入れを停止する必要があります。


これらのエラーメッセージを表示するには:

Part 2b-1. 38173 - SSL Certificate - Signature Verification Failed Vulnerability

そのデバイスには自己署名証明書が存在する可能性があります。これは、ケーブルモデムなどのTLSを必要とするものに一般的ですが、ランダムなユーザーに信頼されることを気にしません。 (ただし、PCIはユーザーが気にしない場合でも気にします)。

Part 2b-6. 38628 - SSL/TLS Server supports TLSv1.0 

安全なWebサイトに今日アクセスすると、最新のTLSv1.3が表示されますが、ほとんどのWebサイトはTLSv1.2またはTLSv1.1までしかサポートしていません。 TLSv1.0は古く、比較的安全ではなく、PCIは数年前の使用を容認できないと宣言しました。

Part 2b-7. 38601 - SSL/TLS use of weak RC4(Arcfour) cipher (CVE-2013-2566, CVE-2015-2808)

TLSは複数のアルゴリズムから選択します。時間の経過とともに、弱点が見つかり、個々のアルゴリズムが原因で廃止されます。 RC4は数年前に引退しました。

105
gowenfawr

カードを物理的に処理し、そのカードデータをネットワーク経由でカードプロセッサに送信するので、ネットワークを保護する必要があります。監査人をあなたの事件から追い出すために単に準拠しているだけでなく、誰かがネットワークにプログラムを忍び込んだ場合、ネットワークの残りの部分を盗聴してそのカードのデータを盗む可能性があります。

質問とコメントに基づいて、ネットワーク内の一部のコンピューターには、要求に公的に応答するWebサーバーがあります。

ほとんどの場合、ケーブルモデム/ルーター自体であり、Webサーバーはリモート管理コンソールの一部です。これにより、ユーザーまたはISPはネットワーク内にいる必要なく設定を変更できます。また、世界中の誰でも設定を変更することもできます。

表示されているエラーメッセージはSSL/TLS Server supports TLSv1.0、(他のいくつかのエラーの中で)これは、Webサーバーが数年前のセキュリティ設定を使用していることを意味します。これがカードプロセッサの不満です-そのWebサーバーは古すぎて、いくつかの既知の脆弱性があります。

ただし、最も重要な問題は、公開されているリモート管理コンソールがあることです。人々は暇なときにログイン情報を推測し、内部ネットワークにアクセスできます。モデムのリモート管理をオフにすると、カードプロセッサはネットワークをスキャンでき、何も表示されなくなり、PCIコンプライアンスに戻ります(以前はコンプライアンスに準拠していたと想定しています)。 。

32
Ghedipunk

TLDR:ネットワークを保護しないでください。 P2PE(ポイントツーポイント暗号化)を備えた最新のカード端末を入手し、それをサポートする取得者(例: SquareやPaypal Hereのような新市場の製品は、あなたが思っているよりも安価です。

これにより、PCI-DSSの責任があなたから離れ、大規模に効率的に処理するための設備が整っているこれらの10億ドル規模の金融会社に移ります。暗号化してください!

PCI-DSSへの準拠は大変な作業ですnless ...(これはスキップしてください)

PCI-DSSは深刻なビジネスです。ほとんどの中小企業は情報漏えいをしていません。しかし、違反があった場合(これは、クラッカーが長期間にわたってクレジットカードのトランザクションを監視している可能性が高いです)、次のような非常に痛いペナルティを支払う必要があります(聞いた数字は90%です)。あなたのスモールビジネスを破産させるチャンス。

PCIの対象となるのは

  • カード端末
  • それが存在するネットワーク
  • すべてのPC、待ってくださいデバイスそのネットワークにアクセスできます
    • そのネットワークにブリッジされたWiFi
    • ioTを含む:防犯カメラ、センスパワーモニター、ひばりで購入したすべての愚かなWiFi対応ガジェット
  • そのネットワークにアクセスできるすべてのネットワーク、および
  • これらネットワーク上のすべてのPC、えー、デバイス。
  • ゲストWiFiはこのネットワーク上にないように正しく設定する必要があります

... nless P2PEを使用して、完全に回避します

P2PE =ポイントツーポイント暗号化-基本的にカードリーダーデバイスと取得者の間のVPNトンネル。

Squareの最初のカードリーダーは、単純な磁気テープヘッドでした。明らかに、Squareアプリはタブレットでカードデータを処理しました。これにより、アプリ、電話/タブレット、ネットワークなどが配置されました。スコープ内 PCI-DSSの場合。

Paypalここでは、暗号化プロセッサをスキャナーのフォブ自体の中に入れます。 fob自体は、P2PEを介してPaypalサーバーと通信します。 Paypalアプリは単にデータを渡し、それを読み取ることはできません(他の誰も読み取ることはできません)。

これはしないアプリ、電話、およびネットワークをPCI-DSSの範囲内に配置します。取得者が 保証fob が安全である場合は、フォブが物理的に改ざんされていないことを確認するだけです。

すべてのクレジットカードアクティビティがP2PEスタンドアロンデバイスを介して行われる場合、ネットワークをPCI-DSSする必要はありません

P2PEは唯一のへの道です。

しかし、残念なことに、多くのアクワイアラー(特にロービングセールスマンとの種類、あなたはそれを知っています)メモを受け取っていません。彼らはあなたにあなたのネットワークを保護する数千を費やすことを強います。どうして?

それらは変更(チップカードなど)に非常に耐性があり、P2PEはバックエンドテクノロジーに莫大な費用を必要とします。そしてもちろん、小売業者は新しいP2PEリーダーを購入する必要があります。これは飲み込むのが難しい薬ですチップリーダーに大量を費やした後

そして、あなたのアクワイアラーはあなたに時代遅れのjalopyを売りました。その読者は、P2PEが普及する前の2012年にさかのぼります。 見る?

enter image description here

Square または Paypal Hereなどの最新の決済処理業者をご覧ください。一見すると、彼らはパーセンテージだけではひどいように見えますしかし、noその他の手数料があり、それがあなたの好意に振り返ります -月額料金、バッチ料金、トランス料金、階層、およびアクワイアラーが行う十数個のわずかな削減はありません。 1.4%と主張する請求書を見たことはありますが、実際には、これらの料金/問題点をすべて考慮した結果、4.1%でした。 Paypalこちらは2.7%です。本当に。

最近のアクワイアラーのもう1つの利点は、Bluetoothを介して電話またはタブレットに接続し、タブレットを使用して販売を呼び出し、指の署名を受け入れることです。これは、また信じられないほど安価なセルラーデータネットワークアクセスを使用できることを意味しますタブレット専用($ 100 /年はすぐに利用できます)商用インターネットサービスに支払うよりも。

そして彼らはどこでも働くので、もしあなたがロービングセールスマンを持っているなら、彼らは顧客にVisa-MCをスワイプすることができます。料金の不承認は言うまでもなく、会計担当者(まったく別のPCI-DSSの悪夢)の番号を書き留める代わりに!

カードが存在しない(CNP)トランザクション

CNPトランザクションには、Paypal Herebig reader などの最新のキーパッドP2PEデバイスを使用します。 どのような種類のタブレットまたはPCにもCNPトランザクションを入力しないでください、またはPC、ネットワーク、yadayadaをPCI-DSSに配置します。

または、または無法者 CNPトランザクションを最小化し、Paypalなどによる請求に変換します(Paypal Hereに付属しています)。そうすればconsumerが自分のデバイスを使用してPaypalなどとやり取りしているため、PCI-DSSが問題になります。

全体像では、問題はインターネットに接続されたデバイスが多くのセキュリティ脅威に直面していることです。 T彼の他の回答は、今回検出された特定の問題に対処するための良いヒントを提供します。

一方、もしあなたが望むならo全体の混乱から離れて、アナログ電話回線を使用し、インターネットに触れないスタンドアロンの決済端末にダウングレードすることができます。特に長期的には、考えられるすべてのセキュリティ問題を回避できるわけではありませんが、現時点では、 SAQ B-IPからSAQ B に戻ります。

SAQ B:「...スタンドアロンのダイヤルアウト端末...」

SAQ B-IP: "...スタンドアロン... IP接続のある端末..."

アナログ電話回線を使用してダイヤルアウト端末に移行する利点は次のとおりです。

  • それはあなたのモデムと他のインターネットに接続されたデバイスを絵から外します
  • 新しいPCIセキュリティ要件の影響を受けにくい
  • 今後のインターネットベースのクレジットカードのセキュリティ侵害の影響を受ける可能性が低くなります

欠点は次のとおりです。

  • 現在の支払いプロセッサではサポートされていない可能性があります(お問い合わせください)
  • VOIPなどではなく、通常のアナログ電話回線が必要です

編集:ハーパーの回答 を推奨するP2PE を読んだ後、通常の実店舗のビジネスが独自のSAQに取り組むことは悪い考えだと思います他の回答で提案されているB-IPの問題。 SAQ B-IPに遅れずについていくことは、非常に危険です。通常の実店舗のビジネスでは、SAQ B(ダイヤルアウト端末)またはSAQ P2PE-HWのソリューションのみを使用する必要があります。

SAQ P2PE-HW:「...端末...検証済み、 PCI SSCにリストされたP2PEソリューションによって管理されています ...」

11
Krubo

User3512967のモデムが私のモデムである場合、WebインターフェースのTLS設定を強化しても意味がありません。 Cisco EPC3212には、LAN内からHTTP経由でのみアクセス可能なインターフェイスがあります。それはグーグルでき、変更できないログイン資格情報を持っています。 TLS(弱いまたは強い)を介して提供されたとしても、私のネットワークはより安全ではありません。公共の知識は非公開にできません。

だから私の質問です:user3512967のモデムのインターフェイスは、公開知識ではアクセスできない制限に値する制御や機密情報を提供していますか?そうでない場合は、TLSを修正しても何も解決されません。

1
Damian