<div dir="ltr"><div class="gmail_extra">&gt; You can pass PCI-DSS with proper firewall rules.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Not true. There is a lot more to PCI-DSS than passing automated pen-tests. There are 12 controls that touch all areas and are pretty tough to maintain.</div><div class="gmail_extra"><br></div><div class="gmail_extra">And if you use FS to take CC details via DTMF then it&#39;s very much in scope for those controls. One example is you have to run it on a hardened OS (see PCI DSS v3 requirement 2.2.a).</div><div class="gmail_extra"><br></div><div class="gmail_extra">And once you&#39;ve got your OS hardened you become a bit reluctant to upgrade, because it costs time and money. </div><div class="gmail_extra"><br></div><div class="gmail_extra">That is definitely not the FS community&#39;s problem, but it is a valid concern of the OP.</div><div class="gmail_extra"><br><div class="gmail_quote">On 19 November 2015 at 10:29, Andrew Cassidy <span dir="ltr">&lt;<a href="mailto:andrew@cassidywebservices.co.uk" target="_blank">andrew@cassidywebservices.co.uk</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">You can pass PCI-DSS with proper firewall rules. For example, if you FS server only needs to accept calls from certain IP addresses, firewalling it out will pass the automated tests easily.<div><br></div><div>I know it&#39;s not ideal, but I&#39;ve managed to make unpatched Windows 2003 servers pass the automated tests just by hiding them behind a proxy. </div><div><br></div><div>I&#39;m not condoning this practise, just timelines on that particular project required that they pass until we could upgrade them to Windows 2012. It bought us the time we needed</div></div><div class="gmail_extra"><br></div></blockquote></div></div></div>