Frage:
Mir wurde gesagt, dass mein "Netzwerk" nicht PCI-konform ist. Ich habe nicht einmal einen Server! Muss ich einhalten
user3512967
2019-08-02 03:57:03 UTC
view on stackexchange narkive permalink

Wir sind ein stationäres Unternehmen ... im wahrsten Sinne des Wortes. Wir sind Maurer. In unserem Büro stellen wir über unser Kabelmodem, das uns von Spectrum Business zur Verfügung gestellt wird, eine Verbindung zum Internet her.

Unser Schatzmeister verwendet einen Verifone vx520-Kartenleser zur Verarbeitung von Kreditkartenzahlungen. Es verbindet sich über Ethernet. Wir speichern keine Kreditkartendaten.

Wir haben einen Schwachstellenbericht erhalten, der besagt, dass wir nicht PCI-konform waren.

Sie haben unser Kabelmodem gescannt. 

  Teil 2b-1. 38173 - SSL-Zertifikat - Signaturprüfung fehlgeschlagen SicherheitsanfälligkeitTeil 2b-6. 38628 - SSL / TLS Server unterstützt TLSv1.0Part 2b-7. 38601 - SSL / TLS-Verwendung einer schwachen RC4-Verschlüsselung (Arcfour) (CVE-2013-2566, CVE-2015-2808)

Ich verstehe nicht, was sie bedeuten. Wir haben keinen Server oder Online-Shop oder so. Mir wurde gesagt, dass sie unser Netzwerk gescannt haben und das haben sie gefunden. Sie sagten uns, wir sollten mit dem ISP Kontakt aufnehmen, um das Problem zu beheben.

Wie soll der ISP ein SSL-Zertifikat auf einem Kabelmodem installieren lassen? Ich habe unseren ISP angerufen und er wusste nicht, was er mir sagen sollte.

Wir verwenden nur den Kartenleser und er stellt eine Verbindung zu unserem Zahlungsprozessor her.

Soll ich etwas tun? Hier? Gilt dies für uns?

Haben Sie versucht, Ihre öffentliche IP-Adresse in die Adressleiste Ihres Webbrowsers einzufügen, um festzustellen, ob eine Verbindung hergestellt werden kann?Versuchen Sie es mit "` http: // 1.1.1.1` "und" `https: // 1.1.1.1`" (beachten Sie das S in der zweiten URL).
Da Sie Kreditkarten verwenden, die sich physisch in Ihrem Büro befinden, müssen Sie Ihr Netzwerk sichern, um PCI-kompatibel zu sein.Dies wird wahrscheinlich nur eine Firewall auf Ihrem Modem / Router konfigurieren, obwohl ich die Beantwortung dieser Frage aufschiebe, je nachdem, was Sie sehen würden, wenn Sie versuchen, Ihre IP-Adresse in Ihrem Browser aufzurufen.
Ich habe unsere IP in einen Browser eingegeben.Ich wurde aufgefordert, ein Benutzername-Passwort einzugeben.Wir haben einen Centos-Dateiserver hinter einer Firewall.Privates Netzwerk, das nicht öffentlich zugänglich ist.Wir speichern keine Kreditkartendaten.Warum wird ein SSL-Zertifikat benötigt, wenn nicht öffentlich darauf zugegriffen wird?
@user3512967, dass Zertifikat und Benutzeraufforderung mit ziemlicher Sicherheit das Modem selbst anmelden und steuern.Es sollte wirklich nicht dem Internet insgesamt ausgesetzt sein.
"Da Sie Kreditkarten verwenden, die sich physisch in Ihrem Büro befinden, müssen Sie Ihr Netzwerk sichern, um PCI-kompatibel zu sein."Das hängt vom Kartenterminal ab. Die guten Terminalanbieter arbeiten hart daran, das Filialnetz für PCI außer Reichweite zu halten.
@user3512967 Eine schnelle Lösung besteht darin, Ihren ISP zu bitten, Ihr Modem in den Bridge-Modus zu schalten und dann ein dediziertes Gerät als Firewall zu verwenden (z. B. Server mit pfSense).Auf diese Weise macht das Modem nichts anderes als zu übersetzen, z.Glasfaser zu Ethernet.Ihr neues Gerät übernimmt dann das Netzwerkmaterial, wobei Sie es vollständig steuern (z. B. Sie erhalten ein SSL-Zertifikat und installieren es auf pfSense oder deaktivieren den Zugriff von der WAN-Seite usw.).
Ich denke, die aktuellen Antworten fehlen auf der nicht-technischen Seite.Die nicht-technische Seite ist, dass die Informationen, die Sie von den Sicherheitsleuten erhalten haben, wahrscheinlich richtig sind, d. H. Es ist die Schuld Ihres Internetdienstanbieters.Sie sollten Ihren ISP also so lange nerven, bis jemand das Problem untersucht, der das Problem versteht.Der ISP beschließt möglicherweise, stattdessen Ihren Vertrag zu kündigen. Hoffentlich sollten Sie jedoch einen ISP finden können, der bereit ist, Ihnen eine sichere Verbindung bereitzustellen.
Zu Ihrer Information, wenn jemand diese Art von Test durchführt (Durchsuchen eines Servers, der auf die IP-Adresse des Netzwerks selbst reagiert), muss sichergestellt werden, dass der Test von außerhalb des Netzwerks (von zu Hause oder auf einem Mobiltelefon mit Daten) als ausgeführt wirdViele Netzwerkeinstellungen erlauben kein NAT-Loopback, es sei denn, sie erfordern dies ausdrücklich.
Von wem haben Sie diesen Bericht erhalten?Haben sie versucht, Ihnen etwas zu verkaufen, um das Problem zu beheben?
Es ist erwähnenswert, dass die meisten (alle?) Internet-Router einen Webserver enthalten, damit Sie die Einstellungen verwalten können.Sogar auf einer [WiFi-Kaffeemaschine] (https://www.slashgear.com/smarters-wifi-coffee-maker-adds-caffeine-to-iot-05361984/) wird ein Server ausgeführt, damit sie reagieren kannzu den Aktionen des Benutzers.
Zusätzlich zu allem anderen, was gesagt wurde, kann jemand, der über nicht sicheres WIFI verfügt, dieses verwenden, um in Ihr Netzwerk zu gelangen.Wenn Sie Kreditkartentransaktionen in Ihrem Netzwerk haben, müssen Sie sicherstellen, dass Ihr Netzwerk sicher ist.Möglicherweise möchten Sie jemanden einstellen, der ein sichereres Netzwerk einrichtet.Einschließlich Business-Grade-WIFI, falls erforderlich, und eines Firewall-Routers.
Der Anbieter Ihres Lesegeräts sollte Ihnen mitteilen können, ob sich Ihr Netzwerk im Umfang befindet oder nicht.Es hängt von vielen Details ab, die nur sie kennen würden.Es ist durchaus möglich, dass das Netzwerk, mit dem der Kartenleser verbunden ist, im Umfang liegt und die Konformitätsanforderungen erfüllen muss.
Besitzen Sie den Kartenleser / das Zahlungsterminal oder leasen Sie ihn beim Zahlungsanbieter?Wenn sie geleast sind, fragen Sie sie nach einem aktualisierten Terminal - sogar ein Mobiltelefon könnte hier helfen.
Warum haben Sie in Ihren Titel "Ich habe nicht einmal einen Server" geschrieben, wenn in Ihrem Kommentar "Wir haben einen Centos-Dateiserver hinter einer Firewall" angegeben ist? ??!?Sie müssen nicht nur Ihre Zahlungsverarbeitung auf End-to-End-Verschlüsselung aktualisieren, sondern auch das anfällige Modem reparieren oder eines Tages feststellen, dass Ihre Firewall kompromittiert ist, nachdem das Modem die letzten 27 Monate eine kontinuierliche Brute-Force-Anmeldung durchgeführt hatVersuche mit LAN-Geschwindigkeit.
Sie benötigen lediglich ein besseres Modem, es sei denn, Ihr Modem kann so konfiguriert werden, dass alle eingehenden Verbindungen blockiert werden. In diesem Fall müssen Sie lediglich Ihr Modem konfigurieren.
Fünf antworten:
gowenfawr
2019-08-02 04:22:00 UTC
view on stackexchange narkive permalink

In unserem Büro mit Verbindung zum Internet über unser Kabelmodem, das uns von Spectrum Business zur Verfügung gestellt wird.

Unser Schatzmeister verwendet einen verifone vx520-Kartenleser, um Kreditkartenzahlungen zu verarbeiten. Es verbindet sich über Ethernet. Wir speichern keine Kreditkartendaten.

Es hört sich so an, als würden Sie unter SAQ B-IP fallen (und Sie werden amüsiert sein, dass die Mnemonik "SAQ" ist B-for-Brick-and-Mortar "):

SAQ B-IP wurde entwickelt, um Anforderungen zu erfüllen, die für Händler gelten, die Karteninhaberdaten nur über einen eigenständigen, von PTS genehmigten Point-of-Point verarbeiten. Interaktionsgeräte (POI) mit einer IP-Verbindung zum Zahlungsprozessor

Es scheint, als hätte jemand einen externen ASV-Scan ("Approved Scanning Vendor") Ihrer bekannten IP-Adresse durchgeführt und das Kabelmodem gefunden war nicht überraschend nicht in der Lage zu schnupfen.

Soll ich hier etwas tun? Gilt dies für uns?

Ja, dies gilt für Sie und viele andere Dinge, die alle im oben verlinkten Fragebogen zur Selbsteinschätzung aufgeführt sind. Und wenn sich Ihre anderen Office-Systeme - Desktops, Drucker usw. - ebenfalls im selben Netzwerk hinter diesem Kabelmodem befinden, gelten die Anforderungen des SAQ auch für diese. Dinge wie Patches und Zugriffskontrollen.

Im Moment müssen Sie weiterhin mit Ihrem ISP zusammenarbeiten. Entweder müssen sie das Modem aktualisieren, aktualisieren oder es dazu bringen, keine Verbindungen mehr aus dem Internet zu akzeptieren.

So brechen Sie diese Fehlermeldungen für Sie auf: 

  Teil 2b-1. 38173 - SSL-Zertifikat - Signaturüberprüfung fehlgeschlagen Sicherheitsanfälligkeit

Auf diesem Gerät befindet sich wahrscheinlich ein selbstsigniertes Zertifikat, das häufig für Kabelmodems verwendet wird, die TLS benötigen, sich aber nicht darum kümmern, zufällig vertraut zu werden Benutzer. (PCI kümmert sich jedoch auch dann darum, wenn Benutzer dies nicht tun.) 

  Teil 2b-6. 38628 - SSL / TLS Server unterstützt TLSv1.0

Wenn Sie heute eine sichere Website aufrufen, wird TLSv1.3 als neueste Version angezeigt. Die meisten Websites unterstützen jedoch nur TLSv1.2 oder TLSv1.1. TLSv1.0 ist alt, relativ unsicher, und PCI hat es vor einigen Jahren für inakzeptabel erklärt. 

  Teil 2b-7. 38601 - SSL / TLS-Verwendung einer schwachen RC4-Verschlüsselung (Arcfour) (CVE-2013-2566, CVE-2015-2808)

TLS kann aus mehreren Algorithmen auswählen. Im Laufe der Zeit werden Schwachstellen gefunden und einzelne Algorithmen werden dadurch eingestellt. RC4 wurde vor einigen Jahren in den Ruhestand versetzt.

Wenn das Verifone und der Prozessor P2PE-zertifiziert wären, würde dies das gesamte Filialnetz aus dem Geltungsbereich entfernen?Ich bin mit B nicht sehr vertraut, aber ich habe den Eindruck, dass es keine "Kartendatenumgebung" gibt, wenn das Gerät alles verschlüsselt, sodass die meisten Fragen vermutlich nicht zutreffen.Ich habe jedoch keine Ahnung, ob dies für einen Standort wie diesen tatsächlich funktioniert.
@Bobson Das glaube ich nicht.Siehe Q4 der [P2PE-FAQ] (https://www.pcisecuritystandards.org/documents/P2PE_v1_1_FAQs_Aug2012.pdf).Aber IANAQSA!
RC4 wurde vielleicht erst vor ein paar Jahren offiziell in den Ruhestand versetzt, aber es wurde entdeckt, dass es buchstäblich Stunden nach seiner Veröffentlichung in den 90er Jahren buchstäblich kaputt war.Nur durch Inkompetenz wurde es so lange benutzt.
RC4 sollte als "Klartext des armen Mannes" bezeichnet werden.
@Bobson müssten Sie stattdessen SAQ-P2PE ausführen, das weitaus weniger Anforderungen stellt als B-IP (und keinen ASV-Scan oder wirklich alles, was mit Ihrem Netzwerk zu tun hat).
Ein Hinweis: "CVE" sind die Seriennummern, die wir für Sicherheitslücken verwenden."CVE-2013-2566" war also die 2566. Sicherheitslücke, die 2013 eingereicht wurde.
@gowenfawr Vielen Dank, dass Sie dazu beigetragen haben, mein lokales sicherheitsbewusster zu machen!
Ghedipunk
2019-08-02 04:40:23 UTC
view on stackexchange narkive permalink

Da Sie Karten physisch verarbeiten und diese Kartendaten über ein Netzwerk an Ihren Kartenprozessor senden, müssen Sie Ihr Netzwerk sichern. Wenn jemand ein Programm in Ihr Netzwerk einschleicht, ist es möglicherweise nicht nur konform, um Auditoren von Ihrem Fall abzuhalten, sondern kann auch den Rest des Netzwerks belauschen und diese Kartendaten stehlen.

Basierend auf Ihrem Fragen und Kommentare: Einige Computer in Ihrem Netzwerk verfügen über einen Webserver, der öffentlich auf Anforderungen reagiert.

Es handelt sich höchstwahrscheinlich um das Kabelmodem / den Kabelrouter selbst, und der Webserver ist Teil einer Remoteverwaltungskonsole. - Sie oder Ihr ISP können Einstellungen ändern, ohne sich im Netzwerk befinden zu müssen. Es ermöglicht aber auch jedem anderen auf der Welt, Einstellungen zu ändern.

Die Fehlermeldung lautet SSL / TLS Server unterstützt TLSv1.0 . (neben einigen anderen Fehlern) Dies bedeutet, dass der Webserver mehrere Jahre alte Sicherheitseinstellungen verwendet. Dies ist, worüber sich Ihr Kartenprozessor beschwert - Dieser Webserver ist einfach zu alt und es gibt mehrere bekannte Sicherheitslücken.

Ihr kritischstes Problem ist jedoch, dass eine Remoteverwaltungskonsole verfügbar ist die Öffentlichkeit. Die Benutzer können die Anmeldeinformationen nach Belieben erraten und erhalten Zugriff auf Ihr internes Netzwerk. Wenn Sie die Remoteverwaltung in Ihrem Modem deaktivieren, sollte Ihr Kartenprozessor in der Lage sein, Ihr Netzwerk zu scannen und überhaupt nichts zu sehen, und Sie sind wieder PCI-konform (vorausgesetzt, Sie waren zuvor konform). .

"Es könnte in der Lage sein, den Rest des Netzwerks zu belauschen und diese Kartendaten zu stehlen" - Kartenverarbeitung ist nicht mein Ding, aber ich nahm an, dass sie dieser Bedrohung standhalten würden.
Harper - Reinstate Monica
2019-08-03 02:59:03 UTC
view on stackexchange narkive permalink

TLDR: Sichern Sie Ihr Netzwerk NICHT. Holen Sie sich ein modernes Kartenterminal mit P2PE (Punkt-zu-Punkt-Verschlüsselung) und einem Acquirer, der es unterstützt - z. Produkte des neuen Marktes wie Square oder PayPal Here, die weniger kosten als Sie denken.

Dies überträgt die PCI-DSS-Verantwortung von Ihnen und auf diese Milliarden-Dollar-Finanzunternehmen, die gut gerüstet sind, um sie effizient und in großem Maßstab zu handhaben. Verschlüsselung!

Die Einhaltung von PCI-DSS ist eine große Arbeit , es sei denn ... (überspringen Sie dies)

PCI-DSS ist ein ernstes Geschäft. Die meisten kleinen Unternehmen haben keine Verletzung. Wenn Sie jedoch einen Verstoß haben (bei dem es sich höchstwahrscheinlich um Cracker handelt, die Ihre Kreditkartentransaktionen über einen längeren Zeitraum überwachen), müssen Sie äußerst schmerzhafte Strafen zahlen, die eine haben (die Zahl, die ich gehört habe, beträgt 90%). Chance, Ihr kleines Unternehmen in Konkurs zu bringen.

Was für PCI in Frage kommt, ist

  • Ihr Kartenterminal
  • das Netzwerk, in dem es sich befindet
  • jeder PC, warten Sie, Gerät , das auf dieses Netzwerk zugreifen kann
    • und das mit diesem Netzwerk überbrückte WiFi
    • , einschließlich IoT: Überwachungskameras, Sense Power Monitor und jedes alberne WiFi-fähige Gadget Sie haben aus Versehen gekauft und
  • jedes Netzwerk, das auf dieses Netzwerk zugreifen kann, und
  • jeden PC, ähm, jedes Gerät auf vergessen diese Netzwerke.
  • Gast-WLAN muss korrekt eingerichtet sein, damit es nicht in diesem Netzwerk vorhanden ist.

    • ... es sei denn, weicht es mit P2PE

    P2PE = Punkt-zu-Punkt-Verschlüsselung - im Wesentlichen ein VPN-Tunnel zwischen dem Kartenlesegerät und dem Acquirer.

    Der erste Kartenleser von Square war ein einfacher Magnetbandkopf. Offensichtlich hat die Square-App Kartendaten im Tablet verarbeitet. Dadurch wurden die App, das Telefon / Tablet, das Netzwerk usw. in den Geltungsbereich für PCI-DSS gestellt.

    PayPal Hier setzen Sie einen Verschlüsselungsprozessor in den Scanner-Anhänger selbst . Der fob selbst kommuniziert über P2PE mit PayPal-Servern. Die PayPal-App leitet die Daten einfach weiter und kann sie nicht lesen (und niemand sonst).

    Mit diesem werden App, Telefon und Netzwerk nicht in den Bereich für PCI-DSS aufgenommen. Wenn der Erwerber garantiert, dass der Anhänger sicher ist, müssen Sie lediglich sicherstellen, dass Ihr Anhänger nicht physisch manipuliert wurde.

    Wenn alle Ihre Kreditkartenaktivität erfolgt über P2PE-Standalone-Geräte, dann müssen Sie Ihr Netzwerk nicht über PCI-DSS .

    P2PE ist der einzige Weg.

    Aber leider viele Acquirer (insbesondere solche mit umherziehenden Verkäufern, die Sie kennen) habe das Memo nicht erhalten. Sie zwingen Sie, Tausende für die Sicherung Ihrer Netzwerke aufzuwenden. Warum?

    Weil sie sehr widerstandsfähig gegen Veränderungen sind (Chipkarten, heh) und P2PE einen enormen Aufwand an Back-End-Technologie erfordert, ohne den sie auskommen können. Und natürlich müssen Sie als Einzelhändler einen neuen P2PE-Leser kaufen, der schwer zu schlucken ist, nachdem Sie nur ein paar für Chip-Leser ausgegeben haben.

    Und Ihr Erwerber hat Ihnen einen veralteten Jalopy verkauft. Dieser Leser stammt aus dem Jahr 2012, bevor P2PE populär wurde. Siehe?

    enter image description here

    Sehen Sie sich moderne Zahlungsabwickler wie Square an oder PayPal hier . Auf den ersten Blick sehen sie nur prozentual schrecklich aus , aber es gibt keine anderen Gebühren, und das schwingt sie zu Ihren Gunsten zurück - keine monatlichen Gebühren, Batch-Gebühren, Trans-Gebühren, Ebenen und das Dutzend oder so kleine Schnitte, die Acquirer machen. Ich habe Rechnungen gesehen, die behaupteten, 1,4% zu betragen, aber tatsächlich 4,1% waren, nachdem all diese Gebühren / Fallstricke berücksichtigt wurden. PayPal Hier sind 2,7%. Ja wirklich.

    Ein weiterer Vorteil moderner Acquirer besteht darin, dass sie über Bluetooth mit Telefonen oder Tablets arbeiten und das Tablet verwenden, um den Verkauf anzurufen und die Fingersignatur zu akzeptieren. Dies bedeutet auch, dass sie den unglaublich günstigen Zugang zum Mobilfunk-Datennetz speziell für Tablets nutzen können (100 US-Dollar pro Jahr sind leicht verfügbar), anstatt für einen kommerziellen Internetdienst zu bezahlen.

    Und sie arbeiten überall. Wenn Sie also umherziehende Verkäufer haben, können sie Visa-MC beim Kunden durchwischen. Anstatt Zahlen für den Schatzmeister aufzuschreiben (ein ganz anderer PCI-DSS-Albtraum), ganz zu schweigen von abgelehnten Gebühren!

    CNP-Transaktionen (Card Not Present)

    Verwenden Sie moderne P2PE-Tastaturgeräte wie PayPal Here Big Reader für CNP Transaktionen. Geben Sie keine CNP-Transaktionen auf einem Tablet oder PC ein , oder platzieren Sie den PC, das Netzwerk oder Yadayada in PCI-DSS.

    Alternativ minimieren Sie oder Outlaw CNP-Transaktionen und konvertieren sie in Abrechnungen über PayPal usw. (was hier natürlich mit PayPal einhergeht). Auf diese Weise verwendet der Verbraucher sein eigenes Gerät, um mit PayPal usw. zu interagieren, und dies macht PCI-DSS zu ihrem Problem.

    Dies scheint die einfachste Lösung zu sein - viele Kartenleser sind einfach nur das (d. H. "Leser!") Und führen auch nicht unbedingt eine "Verschlüsselung" durch!
    Dies ist zu 100% die Antwort.In der Hoffnung auf eine Lösung von einem ISP, der nicht weiß, wie veraltete SSL-Fehler auf * seinen * Geräten behoben werden können, ist dies ein Rezept für eine Katastrophe.Katastrophen sollten aus der Gleichung gestrichen werden.:) :)
    Krubo
    2019-08-02 18:11:14 UTC
    view on stackexchange narkive permalink

    Im Großen und Ganzen besteht das Problem darin, dass mit dem Internet verbundene Geräte vielen Sicherheitsbedrohungen ausgesetzt sind. Die anderen Antworten geben gute Tipps, um die spezifischen Probleme zu beheben, die dieses Mal festgestellt wurden. Strike>

    Auf der anderen Seite, wenn Sie t strike> bevorzugen Um sich von diesem ganzen Durcheinander fernzuhalten, können Sie ein Downgrade auf ein eigenständiges Zahlungsterminal durchführen, das eine analoge Telefonleitung verwendet und das Internet nicht berührt. Es kann sein, dass nicht alle möglichen Sicherheitsprobleme vermieden werden, insbesondere auf lange Sicht, aber im Moment werden Sie von SAQ B-IP zu SAQ B zurückgebracht:

    SAQ B: "... Standalone, DFÜ-Terminals ..."

    SAQ B-IP: "... Standalone ... Terminals mit IP-Verbindung ..."

    Die Vorteile eines Wechsels zu einem DFÜ-Terminal über eine analoge Telefonleitung sind:

    • Ihr Modem und andere mit dem Internet verbundene Geräte werden aus dem Bild entfernt
    • Es ist weniger wahrscheinlich, dass Sie von neuen PCI-Sicherheitsanforderungen betroffen sind.
    • Es ist weniger wahrscheinlich, dass Sie von einer zukünftigen internetbasierten Sicherheitsverletzung durch Kreditkarten betroffen sind.

    Die Nachteile sind:

    • Möglicherweise wird es von Ihrem aktuellen Zahlungsabwickler nicht unterstützt (fragen Sie ihn).
    • Es ist eine normale analoge Telefonleitung erforderlich, kein VOIP oder ähnliches so

    BEARBEITEN: Nachdem ich Harpers Antwort gelesen habe, in der P2PE empfohlen wird, halte ich es jetzt für eine schlechte Idee für jedes normale stationäre Unternehmen versuche adressen s seine eigenen SAQ B-IP-Probleme, wie in anderen Antworten vorgeschlagen. Der Versuch, mit SAQ B-IP Schritt zu halten, ist einfach zu riskant. Ein normales stationäres Unternehmen sollte nur Lösungen unter SAQ B (DFÜ-Terminals) oder SAQ P2PE-HW verwenden:

    SAQ P2PE-HW: "... Terminals ... verwaltet von einer validierten, PCI SSC-gelisteten P2PE-Lösung... "

    Nachteil drei: Wenn Sie nicht nur dafür eine Telefonleitung hinzufügen, stehen Kunden herum und warten (oder gehen verärgert), während Ihre Telefonleitung mit etwas anderem beschäftigt ist.(Ich habe einmal viele Minuten auf eine Kartentransaktion gewartet, während jemand anderes versuchte zu entscheiden, was an einem Geldautomaten zu tun ist, der sich in der einzigen Leitung des Geschäfts auswählt!)
    @WGroleau Der Anbieter müsste wahrscheinlich eine Telefonleitung (ein physisches Kabel) für ihn installieren, wenn er heutzutage ein analoges Telefon für die Einwahl verwenden möchte.In einigen Orten ist es möglicherweise nicht einmal verfügbar.Ich bezweifle, dass er Probleme mit einer blockierten Telefonleitung haben wird.Natürlich YMMV abhängig von Ihrem Land und Ihrer Provinz.
    Tatsächlich.Mein Vorfall war vor weniger als drei Jahren.
    Wo ich aus vielen Geschäften komme, verwenden Sie mobile Zahlungsterminals (GSM / 3G / 4G), die direkt mit dem Internet verbunden sind.In solchen Fällen gehe ich davon aus, dass der Hersteller / Hersteller für die PCI-Konformität verantwortlich ist.Sie müssen jedoch für einen Datentarif für die SIM-Karte bezahlen.
    Die Aussage "Der Versuch, mit SAQ B-IP Schritt zu halten, ist einfach zu riskant" ist wie die Aussage "Die PCI-Konformität ist für Händler zu schwierig, um sie zu erfüllen und aufrechtzuerhalten."Ich sage nicht, dass eine der Aussagen falsch ist, wohlgemerkt, aber seien wir uns bewusst, dass wir uns ergeben, wenn wir es tun.
    @gowenfawr: Die beiden sind jedoch nicht gleichwertig.Der springende Punkt bei Krubos Antwort ist, dass Sie sich nicht darum kümmern müssen: "Wenn Sie Kartendaten über das öffentliche Internet senden, ist die PCI-Konformität für Händler zu schwierig, um sie zu erfüllen und aufrechtzuerhalten."wenn Sie das Internet nicht für die Verbindung verwenden.
    Damian
    2019-08-03 02:20:56 UTC
    view on stackexchange narkive permalink

    Wenn das Modem des Benutzers 3512967 meinem entspricht, ist es sinnlos, die TLS-Einstellungen der Weboberfläche zu verbessern. Mein Cisco EPC3212 verfügt über eine Schnittstelle, auf die nur über HTTP über das LAN zugegriffen werden kann. Es verfügt über Anmeldeinformationen, die gegoogelt und nicht geändert werden können. Selbst wenn es über TLS (schwach oder stark) bereitgestellt würde, wäre mein Netzwerk nicht sicherer. Öffentliches Wissen kann nicht geheim gehalten werden.

    Meine Frage lautet also: Bietet die Modemschnittstelle von user3512967 eine einschränkungswürdige Kontrolle oder vertrauliche Informationen, auf die über öffentliches Wissen nicht zugegriffen werden kann? Wenn dies nicht der Fall ist, löst das Reparieren des TLS nichts.



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
    Loading...