Gilt TLSv1.0 bzw. TLSv1.1 als PCI DSS konform?
Nein, TLS 1.0 und TLS 1.1 gelten seit 31. März 2021 als nicht mehr PCI DSS-konform. Verwenden Sie ausschließlich TLS 1.2 oder 1.3, um den aktuellen Sicherheitsstandards zu genügen.
Lassen sich bestätigte False-Positives aus den Berichten entfernen?
Nein, False Positives können nicht rückwirkend entfernt werden. Sie müssen im Bericht als solche kommentiert werden.
Finding: "Possible Scan Interference"
Führen Sie einen Rescan durch. Falls das Problem bleibt, kommentieren Sie dies als False Positive in Englisch.
Finding: "Not alive – No Vulnerabilities were found for this Component"
Der Scanner konnte das System nicht erkennen, evtl. blockiert eine Firewall den Zugriff. Prüfen Sie die Erreichbarkeit und führen Sie ggf. einen Rescan mit dem Profil „Ohne vorab Ping-Test (langsam)“ durch.
Finding: "Certificate SHA1 Signature Collision Vulnerability"
Hier wird die komplette Zertifikatskette betrachtet. Sollte hierbei lediglich das Root Zertifikat den Algorithmus SHA1 verwenden, so ergänzen Sie dies bitte mit einem False-Positive-Kommentar.
Finding: "Server stopped responding"
Hierzu kann es verschiedene Gründe geben. Überprüfen Sie, ob der Scanner durch eine aktive Firewall geblockt wurde oder ob das Zielsystem überlastet wurde und nicht mehr erreichbar war.
Finding: "Session Cookie Does Not Contain the ‘Secure’ Attribute"
Wenn das Cookie keine sensiblen Informationen enthält, markieren Sie das Finding als False Positive und erläutern Sie dies im Kommentar – bitte in Englisch.
Finding: "Outdated Software"
Der Scanner versucht anhand der Versionsnummer das aktuelle Patch-Level der Software zu bestimmen. Hier kann es jedoch sein, dass alle Patches eingespielt sind, sich die Versionsnummer hierdurch aber nicht verändert hat ("Backport"). Sollte dies der Fall sein, kann dies entsprechend kommentiert werden. Ansonsten muss die Software aktualisiert werden und ein anschließender Rescan durchgeführt werden, um dies zu verifizieren.
Finding: "Remote Management Service Accepting Unencrypted Credentials Detected"
Es wurde ein Dienst identifiziert, welcher unverschlüsselt kommuniziert. Dies ist nicht konform mit den PCI-DSS-Anforderungen.
Bitte prüfen Sie, ob der Dienst wirklich von außen zugänglich sein muss oder ob seine Nutzung auf interne Netzwerke beschränkt werden kann. Sollte der Dienst weiterhin notwendig sein, empfehlen wir dringend, auf eine verschlüsselte Alternative umzusteigen (bei FTP z.B. zu SFTP). Ist dies auch nicht möglich, begründen Sie dies bitte im Kommentar inklusive kurzer Erläuterung, wozu dieser Service benötigt wird, und welche Schutzmaßnahmen implementiert sind.
Finding: "Database Instance Detected"
Gemäß den PCI Richtlinien dürfen Datenbanken nicht direkt über das Internet erreichbar sein, welche Kreditkartendaten verarbeiten oder speichern. Sollte dies nicht der Fall sein, kommentieren Sie dies bitte entsprechend.