我们的财务主管使用Verifone vx520读卡器来处理信用卡付款。它通过以太网连接。我们不存储信用卡数据。
我们收到了一个漏洞报告,指出我们不符合PCI规范。
他们扫描了我们的电缆调制解调器。
Part 2b-1. 38173 - SSL Certificate - Signature Verification Failed Vulnerability
Part 2b-6. 38628 - SSL/TLS Server supports TLSv1.0
Part 2b-7. 38601 - SSL/TLS use of weak RC4(Arcfour) cipher (CVE-2013-2566, CVE-2015-2808)
我不明白他们的意思。我们没有服务器或在线商店,也没有任何东西。有人告诉我他们扫描了我们的网络,这就是他们所发现的。他们告诉我们与ISP一起解决问题。
ISP应该如何在电缆调制解调器上安装SSL证书?我确实打电话给我们的ISP,他不知道该告诉我什么。
我们只使用读卡器,它就连接到我们的付款处理器。
我应该在这里做什么?这是否适用于我们?
#1 楼
在我们的办公室中,通过我们的电缆调制解调器连接到Internet
,由Spectrum Business提供给我们。
我们的司库使用Verifone vx520读卡器来处理信用卡
付款。它通过以太网连接。我们不存储信用卡数据。
听起来您属于SAQ B-IP了(您会感到很高兴的是,“ SAQ B-for-Brick- and-Mortar”):
SAQ B-IP的开发目的是为了满足仅通过独立的,经PTS批准的独立持卡人数据处理商户的
商户的要求。通过IP连接到付款处理器的交互点(POI)设备
听起来有人在进行外部ASV(“认可的扫描供应商”)扫描您知道的IP地址,并发现电缆调制解调器毫不奇怪。
我想在这里做些什么吗?是的,这是否适用于我们?是的,这适用于您以及除上面的“自我评估问卷”中概述的所有其他事项。而且,如果您的其他办公系统(台式机,打印机等)也位于该电缆调制解调器后面的同一网络中,则SAQ的要求也适用于这些系统。诸如打补丁和访问控制之类的事情。
目前,您将需要继续使用ISP。他们要么需要更新调制解调器,对其进行升级,要么要使其停止从整个Internet接受连接。
为您分解这些错误消息:
Part 2b-1. 38173 - SSL Certificate - Signature Verification Failed Vulnerability
该设备上可能存在自签名证书,这对于需要TLS但不关心随机用户信任的电缆调制解调器等情况很常见。 (即使用户不在意,PCI也很在乎)。
Part 2b-6. 38628 - SSL/TLS Server supports TLSv1.0
今天,当您访问一个安全的网站时,将会看到最新的TLSv1.3,但是大多数网站最多仅支持TLSv1.2或TLSv1.1。 TLSv1.0较旧,相对不安全,PCI在几年前宣布无法使用。
Part 2b-7. 38601 - SSL/TLS use of weak RC4(Arcfour) cipher (CVE-2013-2566, CVE-2015-2808)
TLS可以从多种算法中选择;随着时间的流逝,发现了弱点,因此单个算法被淘汰了。 RC4几年前就退休了。
评论
如果Verifone和处理器都通过了P2PE认证,那是否会将整个商店网络从范围内删除?我对B不太熟悉,但是我的印象是,如果设备正在加密所有内容,那么就没有“卡数据环境”,因此大概大多数问题都不会适用。但我不知道这是否真的适用于这样的位置。
–鲍勃森
19年8月2日,0:48
RC4可能只是在几年前才正式退休,但它在90年代公开发布后数小时才被发现损坏。这么长的时间只是出于无能。
–森林
19年8月2日在6:15
RC4应该称为“穷人的明文”
–哈根·冯·埃森(Hagen von Eitzen)
19年8月2日在12:12
@Bobson,您将不得不执行SAQ-P2PE,它的要求比B-IP少得多(并且没有ASV扫描,或者没有与您的网络有关的任何内容)。
– rbsec
19年8月2日,14:46
注意:“ CVE”是我们用于安全漏洞的序列号。因此,“ CVE-2013-2566”是2013年提出的第2566个安全漏洞。
– lynn
19年8月2日在15:53
#2 楼
由于您实际上是在处理卡,并将该卡数据通过网络发送到卡处理器,因此您确实需要保护网络安全。除了为了使审核员摆脱困境而遵守法规之外,如果有人将某个程序潜入您的网络中,它可能还可以窃听网络的其余部分并窃取该卡中的数据。基于您的问题和评论,您网络中的某些计算机上有一个Web服务器可以公开响应请求。
很可能是电缆调制解调器/路由器本身,并且该Web服务器是远程管理的一部分控制台-它使您或您的ISP无需在网络内部即可更改设置。但是,它也允许世界上其他任何人更改设置。
您得到的错误消息是
SSL/TLS Server supports TLSv1.0
(以及其他一些错误),这意味着Web服务器使用的安全设置已有几年历史。这就是您的卡处理器所抱怨的-Web服务器太旧了,并且存在多个已知漏洞。但是,最关键的问题是有一个可用的远程管理控制台。对公众。人们可以随意猜测登录信息,并访问您的内部网络。当您关闭调制解调器中的远程管理时,您的卡处理器应该能够扫描您的网络并且根本看不到任何东西,并且您将恢复PCI兼容性(假设您之前已经达到了兼容性)。 。
评论
“它可能能够窃听网络的其余部分并窃取卡中的数据” –卡处理不是我的事,但我认为它们对于这种威胁将很强大。
–柔印
19年8月4日在1:43
#3 楼
TLDR:不要保护您的网络。使用P2PE(点对点加密)和支持它的收单行获得现代化的卡终端。新市场产品(例如Square或PayPal Here),价格比您想象的要低。这将PCI-DSS的责任从您转移到了数十亿美元的金融公司,这些公司精良能有效地进行大规模处理。去加密!
除非...(跳过),否则要遵守PCI-DSS是一项艰巨的工作。
PCI-DSS是一项严肃的业务。大多数小型企业都没有违规行为。但是,如果您确实有违规行为(很可能是黑客在很长一段时间内监视您的信用卡交易),那么您将需要付出极为痛苦的罚款(我听说的数字是90%)破产的机会。
PCI的范围是
您的卡终端
它在每台PC上的网络
访问该网络
以及连接到该网络的WiFi
包括IoT:安全摄像头,Sense电源监视器以及您在云雀上买来的所有愚蠢的启用WiFi的小工具关于
可以访问该网络的每个网络,以及该网络上的每个PC er设备的所有信息。
必须正确设置访客WiFi,使其不在此网络上
...除非使用P2PE完全避开它,否则
P2PE =点对点加密-本质上是读卡器设备和收单方之间的VPN隧道。
Square的第一个读卡器是一个简单的磁带头。显然,Square应用处理了平板电脑中的卡数据。这将应用程序,电话/平板电脑,网络等置于PCI-DSS的范围内。
PayPal在此处将加密处理器放入扫描仪钥匙扣本身。 Fob本身通过P2PE与PayPal服务器对话。 PayPal应用程序只是将数据传递通过而无法读取(其他任何人也无法读取)。
这不会将应用程序,电话和网络置于PCI-DSS范围内。如果收款人保证该密钥卡是安全的,那么您要做的就是确保您的密钥卡未被人为篡改。
如果您所有的信用卡活动都是通过P2PE独立设备进行的,则您无需不需要PCI-DSS您的网络。
P2PE是唯一可行的方法。
但是,不幸的是,许多收购方(尤其是那些巡回销售人员的收购方)还没有得到备忘录。他们迫使您花费数千美元来保护您的网络。为什么?
因为它们具有超强的抗变化能力(芯片卡,呵呵),P2PE需要大量的后端技术,而这些技术如果没有它们就无法实现。当然,您,零售商,需要购买新的P2PE读卡器,仅在芯片读卡器上花费一堆之后,就很难吃掉它。
并且您的收单方卖给您一个过时的烦恼;该读者的历史可以追溯到2012年,那时P2PE尚未普及。请参阅?
在这里查看诸如Square或PayPal之类的现代支付处理器。乍一看,它们看起来很糟糕,但没有其他费用,这反而对您有利-没有月租费,批处理费,交易费,层级以及收单行采取的十几种削减措施。我见过账单声称为1.4%,但在计入所有这些费用/陷阱后实际上为4.1%。贝宝这里是2.7%。真。
现代并购者的另一个好处是,他们可以通过蓝牙在手机或平板电脑上工作,使用平板电脑进行销售并接受手指签名。这也意味着他们可以为平板电脑专门使用价格低廉的蜂窝数据网络访问服务(每年100美元),而不必为商业互联网服务付费。
他们可以在任何地方工作,因此,如果您有巡回推销员,他们可以在客户处刷Visa-MC。不用写下财务主管的电话号码(整个“另一场PCI-DSS噩梦”),更不用说费用下降了!
不存在卡(CNP)交易
使用现代的P2PE小键盘设备(如PayPal)这是CNP交易的大读者。请勿在任何类型的平板电脑或PC上输入CNP交易,或者将PC,网络,yadayada放入PCI-DSS。
或者,最小化或取缔CNP交易,并将其转换为通过PayPal等(显然是PayPal附带的)。这样,消费者就可以使用自己的设备与PayPal等进行交互,这使PCI-DSS成为问题。
评论
这似乎是最简单的解决方案---许多读卡器就是这样(即“读卡器!”),也不一定在其末端进行任何“加密”!
– ManRow
19年8月3日在22:40
这是100%的答案。希望从不知道如何解决过时的ISP获得修复,其设备上的SSL错误是灾难的根源。应从方程式中消除灾难。 :)
–dannysauer
19-09-27在15:18
#4 楼
从总体上看,问题在于连接互联网的设备面临许多安全威胁。其他答案则为解决这次检测到的特定问题提供了很好的提示。另一方面,如果您希望避免陷入困境,可以将其降级为使用模拟电话线,并且不会触及互联网。它可能无法避免所有可能的安全性问题,尤其是从长期来看,但是目前,它会将您从SAQ B-IP转移到SAQ B:
SAQ B:“ ...独立,拨号输出终端...“
SAQ B-IP:” ...独立...具有IP连接的终端...“
转移到拨出的优点使用模拟电话线的终端有:
,它可以使调制解调器和其他与互联网连接的设备脱颖而出
您受新PCI安全要求的影响较小。 >将来您不太可能受到某些基于Internet的信用卡安全漏洞的影响
缺点是:
您当前的付款处理方可能不支持此功能(问他们)
它需要一条普通的模拟电话线,而不是VOIP或类似的东西
编辑:在阅读了Harper推荐P2PE的答案之后,我现在认为这不是一个好主意任何常规实体业务都试图解决其建议的SAQ B-IP问题其他答案。试图跟上SAQ B-IP太冒险了。常规实体店只能使用SAQ B(拨出终端)或SAQ P2PE-HW下的解决方案:<... />
SAQ P2PE-HW:“ ...终端...由...管理经过验证的,通过PCI SSC认证的P2PE解决方案...“
评论
缺点三:除非您为此专门添加一条电话线,否则您将在电话线忙于做其他事情时让客户围着等待(或大声疾呼)。 (我曾经等了很长时间进行卡交易,而其他人则试图决定在商店的唯一线路上拨出ATM时该怎么做!)
– WGroleau
19年8月2日14:16
@WGroleau,如果卖方最近想使用模拟电话拨号,则可能必须为其安装电话线(物理线)。在某些地方,它甚至可能不可用。我怀疑他会因为电话线阻塞而遇到麻烦。当然,YMMV取决于您所在的国家和省。
– Mindwin
19年8月2日在17:17
确实。我的事件不到三年前。
– WGroleau
19年8月2日在19:50
我来自许多商店,那里使用直接连接到互联网的移动(GSM / 3G / 4G)付款终端。在这种情况下,我假设卖方/制造商负责PCI合规性。不过,您确实需要为SIM卡支付数据套餐费用。
– slebetman
19年8月3日,下午3:14
@gowenfawr:但是,两者并不等效。 Krubo回答的全部重点是,您不必担心“如果通过公共互联网发送卡数据,那么PCI合规性对于商家来说很难满足和维护。”不使用互联网进行连接时。
– Ben Voigt
19年8月4日,0:55
#5 楼
如果user3512967的调制解调器类似于我的调制解调器,那么加强Web界面的TLS设置就没有意义。我的Cisco EPC3212具有只能通过HTTP在LAN内访问的接口。它具有可以通过Google搜索且无法更改的登录凭据。即使通过TLS(弱或强)提供服务,我的网络也不会更加安全。公共知识不能被公开。
所以我的问题是:user3512967的调制解调器接口是否提供了无法通过公共知识访问的值得限制的控制或机密信息?如果不是,则修复它的TLS不能解决任何问题。
评论
您是否尝试过将公共IP地址放入Web浏览器的地址栏中,以查看它是否可以连接到任何东西?尝试同时使用“ http://1.1.1.1”和“ https://1.1.1.1”(请注意第二个URL中的S)。另外,由于您正在运行的物理信用卡位于办公室,因此您确实需要确保网络符合PCI的要求。这可能只是在调制解调器/路由器上配置防火墙,尽管我将根据尝试在浏览器中显示IP地址所看到的内容推迟回答此问题。
@ user3512967该证书和用户提示符几乎可以肯定是要登录并控制调制解调器本身。实际上,它不应该在整个Internet上公开。
“此外,由于您运行的是实际位于办公室的信用卡,因此您确实需要确保网络安全以符合PCI。”这取决于卡终端,好的终端提供商会努力工作,以使商店网络不在PCI范围之内。
您从谁那里得到此报告?他们是在试图向您出售要解决的东西吗?