La prueba de penetración PCI DSS es una de las obligaciones más costosas y menos comprendidas del estándar. Muchos comerciantes confunden la prueba de penetración con el escaneo de vulnerabilidades, subestiman los costes o no saben exactamente cuándo es obligatoria. El Requisito 11.4 del PCI DSS v4 especifica con precisión quién debe realizar la prueba de penetración, con qué frecuencia y con qué criterios. Reducir el perímetro a testear mediante la tokenización es la palanca más eficaz para reducir los costes de esta obligación recurrente.
La obligación de prueba de penetración en PCI DSS: requisitos y frecuencia
El PCI DSS exige la prueba de penetración para los comerciantes que tienen sistemas propios en su CDE (Cardholder Data Environment). No se aplica a los comerciantes con un perímetro SAQ A, que no tienen sistemas propios que manejen datos de tarjeta. Para todos los demás, el Requisito 11.4 del PCI DSS v4 establece que la prueba de penetración debe realizarse al menos una vez al año y después de cualquier modificación significativa de la infraestructura o de las aplicaciones del CDE. El requisito se aplica tanto a las aplicaciones web como a la infraestructura de red, con enfoques distintos para ambos niveles.
La prueba de penetración PCI DSS debe seguir una metodología reconocida (OWASP, PTES, NIST SP 800-115 o equivalente) e incluir tanto pruebas desde el exterior (prueba de penetración externa) como desde el interior del perímetro (prueba de penetración interna). Debe verificar los controles de segmentación de red, comprobando que el CDE esté efectivamente aislado del resto de la red corporativa. En el PCI DSS v4 se han reforzado los requisitos de documentación de resultados y planes de remediación: no basta con realizar la prueba, hay que demostrar que se han resuelto las vulnerabilidades críticas identificadas en los plazos establecidos.
Cuánto cuesta una prueba de penetración PCI DSS en Europa
Los costes de una prueba de penetración PCI DSS en Europa varían significativamente en función de la complejidad de la infraestructura y del número de sistemas en el perímetro. Para un comerciante de tamaño medio con un CDE que incluye servidores web, bases de datos, sistemas de back-office e infraestructura de red, el coste típico de una prueba anual oscila entre 8.000 y 30.000 euros. Para infraestructuras más complejas o para comerciantes con aplicaciones personalizadas, los costes pueden ser superiores. A esto se añaden los costes de remediación de las vulnerabilidades identificadas y el coste de la prueba de verificación (retest) que muchos adquirentes exigen tras la resolución de las vulnerabilidades críticas.
La diferencia entre la prueba de penetración y el escaneo de vulnerabilidades es fundamental para entender los costes. El escaneo de vulnerabilidades es un proceso automatizado que identifica vulnerabilidades conocidas en los sistemas analizando las firmas de vulnerabilidades frente a bases de datos como CVE. El PCI DSS exige un escaneo de vulnerabilidades trimestral por parte de un ASV aprobado, con costes que parten de unos pocos cientos de euros por escaneo. La prueba de penetración es, en cambio, una actividad manual llevada a cabo por profesionales de la seguridad que intentan activamente explotar las vulnerabilidades para verificar el impacto real. No puede sustituirse por el escaneo automático de vulnerabilidades, aunque ambas herramientas se complementan.
Reducir los costes de la prueba de penetración reduciendo el perímetro
El coste de una prueba de penetración PCI DSS es directamente proporcional al tamaño del perímetro a testear. Un comerciante con un CDE que incluye 50 sistemas paga mucho más que uno con un CDE de 5 sistemas. La tokenización reduce el CDE trasladando la gestión de los datos de tarjeta al proveedor certificado. El comerciante que no tiene sistemas propios que manejen datos de tarjeta no tiene un CDE y, por tanto, no está sujeto al requisito de prueba de penetración (entraría en el perímetro SAQ A). El comerciante que tiene solo unos pocos sistemas en el perímetro reducido paga una prueba de penetración proporcionalmente más económica.
Un ejemplo concreto: un comerciante de comercio electrónico que hoy gestiona una aplicación web personalizada con recogida directa de datos de tarjeta vía API, una base de datos que almacena los PAN tokenizados internamente e infraestructura de alojamiento propia, tiene un CDE que puede incluir decenas de componentes. Tras la migración a una página de pago hospedada con tokenización externa, ese mismo comerciante no tiene ya sistemas propios en el CDE. La prueba de penetración anual deja de ser aplicable al perímetro del comerciante (es el proveedor quien debe realizar la prueba de penetración de su infraestructura certificada, no el comerciante). El ahorro en la prueba de penetración anual por sí solo puede justificar la inversión en tokenización en menos de dos años.
Preguntas frecuentes
¿Una prueba de penetración PCI debe realizarla un proveedor certificado?
El PCI DSS no exige que la prueba de penetración sea realizada por un proveedor certificado por un organismo específico, a diferencia del escaneo de vulnerabilidades que debe ser efectuado por un ASV aprobado. El PCI SSC exige que la prueba sea ejecutada por personal cualificado e independiente (interno o externo) con competencias demostrables en seguridad ofensiva. En la práctica, la mayoría de los adquirentes y QSA acepta pruebas de penetración realizadas por empresas de seguridad con certificaciones reconocidas como OSCP, CEH o CREST. Verifique con su adquirente los requisitos específicos.
¿Qué ocurre si la prueba de penetración detecta vulnerabilidades críticas?
Si la prueba de penetración identifica vulnerabilidades críticas, el comerciante debe resolverlas en los plazos previstos por su plan de remediación y, típicamente, realizar una prueba de verificación (retest) para confirmar que las vulnerabilidades han sido efectivamente corregidas. El PCI DSS v4 exige documentación del proceso de remediación. Si las vulnerabilidades críticas no se resuelven, el comerciante no puede certificar la conformidad PCI DSS para ese ciclo de evaluación, lo que puede acarrear solicitudes de remediación por parte del adquirente.
¿Con un CDE reducido la prueba de penetración es realmente más económica?
Sí, de forma significativa. El coste de una prueba de penetración depende del número de sistemas, aplicaciones e interfaces de red en el perímetro. Un CDE reducido a unos pocos sistemas (o eliminado) reduce proporcionalmente el coste de la prueba. Un comerciante SAQ A no tiene un CDE propio y no está sujeto al requisito de prueba de penetración: el ahorro es del 100% en esta partida. Un comerciante con CDE reducido a 3-5 sistemas pagará una prueba de penetración entre 5 y 10 veces menos que uno con un CDE completo de 50 componentes.
Un perímetro reducido significa una prueba de penetración más rápida, menos costosa y, a menudo, innecesaria: la tokenización es la inversión más eficiente para reducir los costes recurrentes de conformidad PCI DSS. Descubra PCI Proxy EU.