ASV-Scans PCI-DSS-Zertifizierung

Vorwort

Einige Zahlungsdienstleister setzen eine PCI-DSS-Zertifizierung voraus, bei der ASV-Scans (Approved Scanning Vendor) ein essenzieller und wichtiger Bestandteil sind, um diese erfolgreich durchführen zu können. Damit Sie bei diesen Scans ein bestmögliches Ergebnis erzielen, beschreiben wir Ihnen in diesem Artikel einige Möglichkeiten, um Ihren Server grundlegend abzusichern.


Die Durchführung des ASV Scans kann direkt durch unseren Partner usd AG beauftragt werden. Sie können den ASV-Scan direkt über die usd PCI Plattform beauftragen.


Server aktualisieren

Zur Vermeidung von Sicherheitslücken, die durch veraltete Anwendungen bzw. ein veraltetes Betriebssystem entstehen können, empfehlen wir Ihnen die regelmäßige Aktualisierung der installierten und verwendeten Anwendungen und des Betriebssystems Ihres Servers.


Managed Server

Im Rahmen unseres Server-Supports führen wir automatische Minor Updates von Betriebssystem und Anwendungen gemäß unserer Update-Richtlinie für Managed Server durch.


Unmanaged Server

Im Support-Level Unmanaged müssen alle automatisches und Security-Patches durch Sie durchgeführt werden. Bitte beachten Sie, dass wir in diesem Support-Level keinen Zugriff auf Ihren Server besitzen.


Bitte beachten Sie, dass aktuell auf dem Server installierte Softwarepakete ggf. bereits gegen bekannte Sicherheitslücken abgesichert sind, da in dem ASV-Scan-Bericht u.U. Versionen von Softwarepaketen empfohlen werden, die nur über Beta-Kanäle des entsprechenden Repositorys verfügbar sind und eventuell zu einem instabilen / unerwarteten Verhalten des Servers führen können.


Zugriffsbeschränkungen durch Firewall-Regeln

Oft lässt es sich nicht vermeiden, Serverdienste zu verwenden, die eine Verbindung mit dem Server ermöglichen.

Ein Beispiel hierfür sind Verbindungen via SSH, FTP(S) / SFTP oder auch der Zugriff auf das Plesk-Control-Panel.

Hier ist es in der Regel allerdings nicht notwendig, dass eine Verbindung von einer beliebigen IP-Adresse zugelassen wird. Eine einfache Möglichkeit zur Einschränkung von diesen Verbindungen ist die Nutzung der Cloud-Firewall Ihres Servers, da keine Änderung der eigentlichen Serverkonfiguration erforderlich ist und ungewollte Verbindungen effektiv im Vorfeld abgelehnt werden können.


Im Folgenden ist ein allgemeines Beispiel für einen Firewall-Regelsatz aufgeführt, wodurch eine grundlegende Absicherung erreicht wird:


Bitte beachten Sie, dass Firewall-Regeln in der korrekten Reihenfolge definiert werden müssen, da die Regelauswertung in absteigender Reihenfolge durchgeführt wird und umgehend abgebrochen wird, sobald die erste Regel zutrifft.


  • Allgemeine Anfragen, z.B. für Besucher Ihres Webauftrittes, zu dem Server sollten nur noch auf Port 80 (HTTP) und Port 443 (HTTPS) erlaubt werden\n

  • Der SSH- bzw. FTP(S)/SFTP-Zugriff sollte nur von bestimmten IP-Adressen erlaubt werden. Um Ihre öffentliche IP-Adresse zu ermitteln, können Sie unser IP-Tool verwenden. Diese können Sie über die folgende URL aufrufen:

    https://ip.creoline.com/\n

  • Damit der Zugang zu Ihrem Control-Panel, bspw. Plesk, weiterhin möglich bleibt, sollte der Zugriff auf bestimmte, tatsächlich verwendete IP-Adressen beschränkt werden. Für Plesk muss im Standard Port 8443 freigegeben werden. \n
  • Alle anderen eingehenden Verbindungen werden blockiert


Zur Vermeidung von ungewollten Einschränkungen sollten Sie im Voraus eine Prüfung durchführen bzw. durchführen lassen, um zu ermitteln, welche Dienste und Verbindungsmöglichkeiten tatsächlich verwendet und benötigt werden, da ggf. abhängig von der Anwendung die Freigabe weiterer Ports erforderlich ist.

Ein weit verbreitetes und genutztes Beispiel hierfür wäre die Datenübertragung via FTP(S).


Eine entsprechende Übersicht für unsere Serverlösungen finden Sie unter der folgenden URL:

https://help.creoline.com/de/doc/ports-der-server-dienste-u9HOvJv0M1


Standard-Zugangsdaten vermeiden

Einige Anwendungen verwenden Standard-Zugangsdaten, um eine Zugriffsmöglichkeit für die Ersteinrichtung nach einer Installation zur Verfügung zu stellen. Je nach Anwendung lassen sich die Zugriffe nicht oder nur bedingt über die Firewall Ihres Servers einschränken. Ein Beispiel hierfür wäre die Shopware-Administration, da diese über eine spezifische URL und damit Port 80 (HTTP) und Port 443 (HTTPS) aufgerufen wird und diese Ports i.d.R. nicht eingeschränkt werden, um Besuchern einen Zugang zu Ihrem Webauftritt zu ermöglichen.

Aus diesem Grund sollten die Standard-Zugangsdaten unbedingt nach der Provisionierung / Installation geändert werden, um ungewollte Zugriffe und damit verbundener Risiken zu vermeiden.


Bei der Provisionierung unserer Serverlösungen werden Standard-Zugangsdaten automatisch geändert und in dem Passwort-Tresor Ihres Servers abgelegt.


ASV-Scan beauftragen

Die Durchführung des ASV-Scans kann direkt durch unseren Partner usd AG beauftragt werden. Sie können den ASV-Scan direkt über die usd PCI Plattform beauftragen.


Mehr Informationen zur usd AG:

Ähnliche Artikel
Auf dieser Seite
Notfall?
In dringenden Fällen steht Ihnen unsere Notfall-Hotline rund um die Uhr unter der Rufnummer +49 2507 900 80 - 34 zur Verfügung.