Was bedeutet compliant?
Unternehmen, die alle für sie relevanten Sicherheitsanforderungen des PCI DSS erfüllen, gelten als PCI DSS compliant.
Damit befinden sich diese Unternehmen im Schutz der sogenannten „Safe-Harbour Rule“, solange sie die Anforderungen nachweislich einhalten. Somit kann im Falle eines Datendiebstahls bzw. -missbrauchs nach Analyse durch einen Forensiker das Unternehmen mit einer teilweisen oder vollständigen Befreiung von Geldstrafen seitens der Kreditkartenorganisationen bzw. des Acquirers rechnen.
Wieso befinden sich Wasserzeichen mit "Scan Report not confirmed" auf meinen Berichten?
Die Wasserzeichen werden verwendet, solange der Scan im Status "fail" steht oder im Status "compliant" formal noch nicht abgeschlossen ist. Ein Scan im Status "compliant" benötigt eine finale (formale) Bestätigung Ihrerseits. Dafür nutzen Sie bitte den Button "Scan bestätigen", den Sie innerhalb der Funktionsauswahl Ihres aktuellen Scans finden.
Gilt TLSv1.0 bzw. TLSv1.1 als PCI DSS konform?
Nein, Sie müssen dieses Protokoll abschalten. Seit 31. März 2021 werden die Transport Layer Security (TLS)-Versionen 1.0 (RFC 2246) sowie 1.1 (RFC 4346) formell als veraltet angesehen. Stattdessen sollten die neueren Versionen 1.2 und/oder 1.3 verwendet werden.
Hinweis: Das TLSv1.1-Protokoll selbst weist derzeit keine ausnutzbaren Schwachstellen auf. Allerdings weisen einige Herstellerimplementierungen von TLSv1.1 Schwachstellen auf, die möglicherweise ausgenutzt werden können.
Lassen sich bestätigte False-Positives aus den Berichten entfernen?
Nein. False-Positives lassen sich nicht nachträglich entfernen. Dieses Vorgehen ist auch nicht explizit vom PCI DSS vorgesehen.
Links Rejected By Crawl Scope or Exclusion List (Stichwort “embedded links”) - Die Liste der excluded Links ist jedoch leer. Wie kann die Schwachstelle behoben werden?
Es handelt es sich um ein False-Positive. Geben Sie diese Begründung im Kommentarfeld zum Finding an. Bitte denken Sie daran, die Begründung in englischer Sprache zu verfassen.
Path-Based Vulnerability - Ein Auflisten von Verzeichnissen (Web Directory Browsing) findet nicht statt. Wie kann die Schwachstelle behoben werden?
Es handelt es sich um ein False-Positive. Geben Sie diese Begründung im Kommentarfeld zum Finding an.Bitte denken Sie daran, die Begründung in englischer Sprache zu verfassen.
http Proxy Supports non-http Protocols 62003 - Wie kann die Schwachstelle behoben werden?
In diesem Fall hat der Scanner einen HTTP Proxy erkannt, welcher neben HTTP auch andere Protokolle erlaubt wie bspw. dict, ftp oder gopher. Sofern es sich hierbei nicht um ein False-Positive handelt und diese Protokolle nicht benötigt werden, sollten diese in den Proxy Einstellungen deaktiviert werden (dies ist herstellerspezifisch).
Possible Scan Interference - Wie kann die Schwachstelle behoben werden?
Wir empfehlen Ihnen, einen Rescan durchzuführen. Sollte das Problem nach manueller Überprüfung aller Einstellungen weiterhin bestehen, tragen Sie diesen Sachverhalt bitte als False-Positive im Kommentarfeld zum Finding ein. Bitte denken Sie daran, die Begründung in englischer Sprache zu verfassen.
not alive - No Vulnerabilities were found for this Component - Wie kann die Schwachstelle behoben werden?
In diesem Fall konnte der Scanner das angegebene System nicht erkennen. Vergewissern Sie sich, dass Anfragen nicht durch eine Firewall blockiert werden. Zusätzlich können Sie einen Rescan planen und beim Scanprofil die Option "Ohne vorab Ping-Test (langsam)" auswählen.
Certificate SHA1 Signature Collision Vulnerability - Das Zertifikat nutzt jedoch nicht SHA1. Wie kann die Schwachstelle behoben werden?
Hier wird die komplette Zertifikatskette betrachtet. Sollte hierbei lediglich das Root Zertifikat den Algorithmus SHA1 verwenden, so ergänzen Sie dies bitte mit einem False-Positive-Kommentar.
server stopped responding - Wie kann die Schwachstelle behoben werden?
Hierzu kann es verschiedene Gründe geben. Überprüfen Sie, ob der Scanner durch eine aktive Firewall geblockt wurde oder ob das Zielsystem überlastet wurde und nicht mehr erreichbar war.
Wir haben das Finding "Session Cookie Does Not Contain the 'Secure' Attribute" erhalten. Das gesetzte Cookie wird jedoch lediglich für die Load Balancer Zuweisung genutzt. Wie kann die Schwachstelle behoben werden?
Der Scanner hat lediglich festgestellt, dass dem Cookie das Secure-Attribut fehlt. Falls dies tatsächlich weder ein Session Cookie noch andere sensible Informationen darstellt, können Sie dies als False-Positive kommentieren. Bitte denken Sie daran, die Begründung in englischer Sprache zu verfassen.