O Tenable’s Research Group lançou recentemente 3 novos plugins(betas), todos eles para o assinantes do ProfessinalFedd, que automatizam o processo de prepração de uma auditoria do PCI-DSS. Os 3 novos plugins disponíveis são:

• PCI DSS compliance: tests requirements


• PCI DSS compliance: passed


• PCI DSS compliance
  
  

Estes plugin avaliam os resultados de suas varreduras e da atual configuração de seus varredores para determinar se o Servidor alvo pode ser compatível com o PCI-DSS ou não.

Um sistema só será confirmado como sendo aparentemente compatível com o PCI-DSS, se os resultados da varredura forem positivos. O PCI-DSS exige muitos tipos diferentes de análise minuciosa, então é recomendado que todas as opções deste novos plugins sejam habilitadas.

Para quem não conhece, o PCI-DSS (Payment Card Industry – Data Security Standard) é o padrão internacional definido pelas principais operadoras de cartão de crédito para assegurar níveis aceitáveis de segurança aplicados às rotinas de processamento, armazenamento e gerenciamento dos dados transacionais de cartões de crédito.

O PCI-DSS possui 12 requerimentos, são eles:

• Instalar e manter um firewall para proteger dados de cartão de crédito.


• Não utilizar senhas padrão ou outras configurações de segurança dos softwares utilizados.


• Proteger dados de cartões de crédito armazenados.


• Utilizar criptografia na transmissão de dados de cartões de crédito, manter um programa de Gerenciamento de Vulnerabilidades.


• Utilizar regularmente programas anti-vírus.


• Desenvolver e manter sistemas e aplicações seguras, implementar um forte controle de acesso.


• Restringir acesso a dados de cartões de crédito por negócio e por pessoas que realmente precisam acessá-los.


• Designar um único ID para cada usuário da rede e sistemas.


• Restringir acesso físico aos dados de cartão de crédito, testar e monitorar a rede regularmente.


• Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.


• Testar a segurança de sistemas e processos regularmente, manter um programa de Gerenciamento de Vulnerabilidades.


• Manter uma política que enderece informações de segurança.

É uma pena o Nessus não ser mais GPL, restringindo seus usuários "livres" a terem acesso somente aos HomeFeeds. Agora é esperar que o OpenVAS, Fork do Nessus 2, também desenvolva e disponibilize este plugin. Entrentano, OpenVas é assunto para um outro post. :) !!!

Para maiores informações sobre os plugins do nessus, acesse:
http://blog.tenablesecurity.com/2008/10/pci-dss-plugins.html

Para maiores informações sobre a PCI-DSS, acesse:
https://www.pcisecuritystandards.org/