A penetrációteszt (behatolásvizsgálat) a PCI DSS 11. követelményének része, és az egyik legfontosabb biztonsági validálási eszköz. A PCI DSS v4.0-ban kibővítették a penetrációteszt hatókörét és követelményeit.
Mikor és kinek kötelező a penetrációteszt?
A PCI DSS 11.4 követelmény szerint: minden szervezetnek legalább évente egyszer belső penetrációtesztet kell végeznie; minden szervezetnek legalább évente egyszer külső penetrációtesztet kell végeznie; szegmentációt alkalmazó szervezeteknek a szegmentáció hatékonyságát is tesztelniük kell (szegmentáció-teszt); minden jelentős infrastrukturális változás (új szerver, új alkalmazás, szegmentáció-módosítás) után ismételni kell. A SAQ A és SAQ A-EP esetén a penetrációteszt-követelmény enyhített, de a szegmentáció-teszt erősen ajánlott.
Belső vs. külső penetrációteszt
Belső penetrációteszt: szimulált belső támadó (pl. kompromittált munkavállalói hozzáféréssel) – a CDE belső rendszereinek sérülékenységeit vizsgálja; belső hálózati mozgást (lateral movement) tesztel. Külső penetrációteszt: szimulált külső támadó az internet felőli oldalról – internet-felőli belépési pontokat, webalkalmazásokat, VPN-eket vizsgál; a CDE-be való kívülről való betörhetőséget értékeli. A tesztelők lehetnek belső biztonsági csapat tagjai vagy külső biztonsági cégek.
PCI DSS penetrációteszt módszertan
Elfogadott metodológiák a PCI SSC szerint: OWASP Testing Guide; NIST SP 800-115; PTES (Penetration Testing Execution Standard); OSSTMM. A penetrációteszt legalábbis le kell fednie: a CDE rendszerek rétegeit (hálózati, operációs rendszer, alkalmazás); a webalkalmazásokat (ha interneten elérhetők); a szegmentáció hatékonyságát; a sérülékenységek kihasználhatóságát.
Penetrációteszt dokumentálása QSA számára
A QSA a penetrációteszt következőket vizsgálja: a teszt hatókörének meghatározása (mit teszteltek); a tesztelő minősítése (belső csapat vagy külső cég); a talált sérülékenységek listája súlyossági szint szerint; az elvégzett korrekciók (remediation) és a re-teszt eredményei; az elfogadott kockázatok (risk acceptance) dokumentálása. A dokumentáció az éves megfelelőségi folyamat része.
Csökkentse a penetrációteszt hatókörét tokenizációval
A tokenizáció csökkenti a CDE-t, ezáltal a penetrációteszt hatókörét és költségét is. Szakértőink segítenek az optimális stratégia kialakításában.
Konzultáljon szakértőnkkel