PCI DSS penetrációteszt: mikor kötelező és mikor elegendő az ASV?

Sok kereskedő összekeveri a penetrációtesztet az ASV-szkennelással. A két eszköz különböző célra szolgál, és különböző esetekben kötelező. Ez a cikk egyértelműsíti a különbségeket és azt, hogy az Ön vállalkozása melyikre kötelezett.

ASV-szkennelés vs. penetrációteszt: alapvető különbség

Az ASV (Approved Scanning Vendor) szkennelés automatizált sebezhetőség-azonosítás: az ASV szoftver a CDE külső IP-cíéit szkenner segítségével nyílt sebezhetőségeket (pl. nyitott portok, ismert CVE-k) keres; negyedéves elvégzés kötelező; nem tartalmaz manuális exploitot vagy proof-of-concept támadást; relatívan olcsó (néhány száz euró negyedévente). A penetrációteszt manuális, szimulatív támadás: egy képzett tesztelő (belső vagy külső) szimulált valódi betörési kísérletet hajt végre; évenkénti elvégzés kötelező; tartalmaz sérülékenységek kihasználásának kísérletét; lényegesen drágább (több ezer eurótól).

SAQ-szint és penetrációteszt-kötelezettség

SAQ A: SAQ A kereskedőknél a penetrációteszt nem kifejezetten kötelező (a SAQ A kérdései nem tartalmazzák a 11.4 penetrációteszt-kérdést, mivel a CDE-t a PSP/PCI Proxy EU kezeli). ASV-szkennelés azonban ajánlott, ha az áruhoz tartozó weboldalak megfoghatatók. SAQ A-EP: a 11.4.x penetrációteszt-kérdések szerepelnek – kötelező éves penetrációteszt. SAQ D: teljes penetrációteszt-kötelezettség (11.4 minden alpontja). Level 1 (ROC alapján): kötelező éves belső és külső penetrációteszt és szegmentáció-teszt.

Mikor szükséges ismételni a penetrációtesztet?

Éves kötelezettségen túl, a penetrációtesztet meg kell ismételni: minden jelentős infrastrukturális változás után (új szerver telepítése, alkalmazásfrissítés, szegmentáció-módosítás); ha az előző teszt kritikus sérülékenységet tárt fel és az megtörtént a remediation; ha az acquirer vagy kártyahálózat külső ereignény (incidens, gyanú) miatt rendkívüli tesztet vár el.

---