Dans la suite de notre durcissement, nous allons installer des mesures (Composants techniques) qui vont nous permettre de savoir si notre serveur dispose d’un rootkit malveillant. On n’apprécie pas particulièrement que notre plateforme héberge des accès non autorisés dans notre approche PCI DSS. Je vous propose de voir les outils suivants qui peuvent répondre à…
Mise à jour le 30 Juillet 2014Lors de l’écriture du guide de durcissement d’un socle Linux, des amis QSA m’ont fait part d’un oubli de taille. « As tu pensé à stopper la liste des services inutiles sur ton OS ? » Ma confiance envers le Firewall était largement exagéré et je ne répondais plus aux exigences…
Après le guide de l’Audité, on se pose tous la dernière question. Mais comment se passe un entretien avec un auditeur QSA ? Je ne peux que partager mon expérience et je vous propose la checklist suivante qui sert de fil rouge lors des entretiens. Bien entendu, cette checklist n’est pas une recommandation et votre…
Il existe pas mal de tuto sur la façon de faire un audit du coté QSA mais du coté client je n’ai rien trouvé de vraiment pratique. Je vous propose les suggestions suivantes pour bien vivre un audit PCI DSS quelque soit votre niveau de préparation ou de stress. La première chose est d’appréhender son…
Lors de la revue des exigences PCI DSS, il est demandé de produire un guide de durcissement des systèmes d’informations. Il apparait alors une vrai intérrogation sur le sujet. Dois je fournir un guide d’installation complet de 200 pages sur le durcissement de ma plateforme ou encore un dossier d’installation avec quelques tips sur la…
A chaque projet PCI, on se retrouve devant des mythes et des légendes urbaines. Je vous propose les 3 mythes que je rencontre lors de mes missions sur les projets PCI DSS.
