<font size=1 face="sans-serif"><b>Product:</b></font><p><font size=1 face="sans-serif">IBM BigFix Compliance PCI Add-on</font><p><p><font size=1 face="sans-serif"><b>Title:</b></font><p><font size=1 face="sans-serif">Updated Security Configuration Management
(SCM) PCI DSS Checklists for RHEL 5, RHEL 6, RHEL 7, and AIX 7 to comply
with PCI DSS v3.2</font><p><p><font size=1 face="sans-serif"><b>Category:</b></font><p><font size=1 face="sans-serif">Updated SCM checklist</font><p><p><font size=1 face="sans-serif"><b>Published Benchmark:</b></font><p><font size=1 face="sans-serif">Payment Card Industry Data Security Standard
v3.2</font><p><p><font size=1 face="sans-serif"><b>Details:</b></font><p><font size=1 face="sans-serif">The IBM BigFix Compliance PCI Add-on
team has updated the content for the Payment Card Industry Data Security
Standard (PCI DSS) checklists for RHEL 5, RHEL 6, RHEL 7, and AIX 7 to
comply with PCI DSS v3.2, as well as to include other enhancements. Details
are as follows.</font><p><font size=1 face="sans-serif">For AIX 7:</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">PCI
DSS Requirements and Security Assessment Procedures v3.2 is supported in
the checklists. Existing checks are updated to adopt to the new standard
and new checks are added to conform to the new requirements. </font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
following PCI DSS v3.2 specific checks are added to the checklists:</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that changes in the "ipfilters" configurations
are logged”</i> (pcidss-10.2.2_2.1)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that changes in the password policy are logged”</i> (pcidss-10.2.2_2.2)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that logging is enabled for the “ipfilters” service
status changes”</i> (pcidss-10.2.2_2.3)</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
measured values for each AIX 7 check, which can be viewed in the BigFix
console, analyses, and SCA reports are formatted for enhanced readability.
The results now clearly present the desired system configuration setting,
as specified by a check, against the actual setting on the endpoint.</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
description for the globalfind feature is updated for improved usability.</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">Some
titles and descriptions of the checks are updated with the standardized
format and extensions.</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
checks named <i>“Verify that the SSH protocol is set to the version 2
for the client side”</i> (2.2.2.a_5.1) and <i>“Verify that the SSH protocol
is set to the version 2 for the server side”</i> (2.2.2.a_5.2) are updated
with appropriate default desired values.</font><p><p><font size=1 face="sans-serif">For RHEL 5 and RHEL 6:</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">PCI
DSS Requirements and Security Assessment Procedures v3.2 is supported in
the checklists. Existing checks are updated to adopt to the new standard
and new checks are added to conform to the new requirements. </font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
following PCI DSS v3.2 specific checks are added to the checklists:</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that events that modify iptables configuration are logged”
</i>(pcidss-10.8_b.1.9)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that events that modify password policies are logged</i>”
(pcidss-10.8_b.2.9)</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
check named <i>“Verify that default ports are not using SSL and early
TLS”</i> (pcidss-4.1.d.9.31) is added in the checklists.</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
checks named <i>“Verify that inactive user accounts are disabled within
'90 days or less'” </i>(pcidss-8.1.4.8) and <i>“Verify that inactive
user accounts are disabled within '90 days or less'” </i>(pcidss-8.1.4.9),
which are from the PCI DSS Checklist for RHEL 6 and PCI DSS Checklist for
RHEL 5 sites, respectively, are updated with the correct parameterization
range </font><p><p><font size=1 face="sans-serif">For RHEL 7:</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">PCI
DSS Requirements and Security Assessment Procedures v3.2 is supported in
the checklist. Existing checks are updated to adopt to the new standard
and new checks are added to conform to the new requirements. </font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
following PCI DSS v3.2 specific checks are added to the checklists:</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that events that modify iptables configuration are logged”</i>(pcidss-10.8_b.1.6)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that events that modify firewalld configuration are logged”</i>(pcidss-10.8_b.3.6)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that events that modify password policies are logged”</i>(pcidss-10.8_b.2.6)</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
check named <i>“Verify that default ports are not using SSL and early
TLS”</i> (pcidss-4.1.d.9.31) is added in the checklist.</font><p><font size=1 face="Symbol">·        </font><font size=1 face="sans-serif">The
check named <i>“Verify that inactive user accounts are disabled within
'90 days or less'” </i>(pcidss-8.1.4.6) is updated with the correct parameterization
range.</font><p><p><font size=1 face="sans-serif"><b>Published Sites:</b><br>PCI DSS Checklist for AIX 7 , version 2<br>PCI DSS Checklist for RHEL 5, version 4<br>PCI DSS Checklist for RHEL 6, version 5<br>PCI DSS Checklist for RHEL 7, version 5</font><p><font size=1 face="sans-serif"><i>*The site version is provided for
air-gap customers.</i></font><p><p><font size=1 face="sans-serif"><b>Actions to Take:</b></font><ul><li><font size=1 face="sans-serif">If you use custom sites, update your
custom sites accordingly to use the latest content. You can synchronize
your content by using the Synchronize Custom Checks wizard. For more information,
see </font><a href=https://ibm.biz/Bd4LBt><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/Bd4LBt</u></font></a><font size=1 face="sans-serif">.</font><li><font size=1 face="sans-serif">If you have not subscribed to the site
above, you can use the License Overview dashboard to enable and gather
the sites. Note that you must be entitled to the new content and you are
using IBM BigFix version 9.0 and later.</font><li><font size=1 face="sans-serif">If you were involved in the Early Access
Program for IBM BigFix Compliance PCI Add-on, unsubscribe from the beta
sites to avoid any conflicting issues with the production sites. If you
do not unsubscribe from the beta sites, the content in the production sites
will fail.</font><br></ul><br><font size=1 face="sans-serif"><b>More information:</b><br>To view the related PCI DSS v3.2 support announcements, see the following
posts:</font><font size=2 face="Calibri"> </font><a href=https://ibm.biz/BdrFiu><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdrFiu</u></font></a><font size=1 face="sans-serif">and </font><a href=https://ibm.biz/BdrXPU><font size=1 color=blue face="sans-serif"><u>https://ibm.biz/BdrXPU</u></font></a><font size=1 face="sans-serif">.</font><br><br><font size=1 face="sans-serif">To know more information about the IBM
BigFix Compliance SCM checklists, see:</font><br><br><font size=1 face="sans-serif"><b>IBM BigFix Compliance PCI Add-on
User's Guide</b> in the BigFix developerWorks wiki: </font><a href=https://ibm.biz/BdrBtk><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdrBtk</u></font></a><br><br><font size=1 face="sans-serif"><b>IBM developerWorks:</b> </font><a href=https://ibm.biz/BdFiGQ><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdFiGQ</u></font></a><br><br><font size=1 face="sans-serif"><b>SCM Checklist Deployment: </b></font><a href=https://ibm.biz/BdrBtU><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdrBtU</u></font></a><br><br><font size=1 face="sans-serif"><b>IBM Blog for Checklist Release Announcement:
</b></font><a href=https://ibm.biz/BdrBt5><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdrBt5</u></font></a><br><br><font size=1 face="sans-serif"><b>BigFix forums:</b> </font><a href=https://forum.bigfix.com/><font size=1 color=#0082bf face="sans-serif"><u>https://forum.bigfix.com/</u></font></a><br><br><p><font size=1 face="sans-serif">We hope you find this latest release
of SCM content useful and effective. Thank you!</font><p><p><font size=1 face="sans-serif"><i> -- The IBM BigFix Compliance
PCI Add-on team</i></font><BR>