Il pci dss penetration testing è uno degli adempimenti più onerosi in termini di costo e preparazione: un test su un CDE di media complessità può costare tra i 5.000 e i 20.000 euro, va eseguito almeno una volta l'anno e deve essere condotto da un soggetto qualificato e indipendente. Per un merchant o una PMI che vuole controllare i costi di compliance, ridurre il perimetro soggetto a pen test è una priorità strategica.
Quando il pen test PCI DSS è obbligatorio e con quale frequenza
Il Requisito 11.4 del PCI DSS v4.0 richiede che i merchant eseguano un penetration test almeno una volta ogni 12 mesi e dopo qualsiasi modifica significativa all'infrastruttura o alle applicazioni nel perimetro CDE. "Modifica significativa" include l'aggiunta di nuovi sistemi, cambiamenti alla topologia di rete, aggiornamenti maggiori alle applicazioni di pagamento e modifiche ai controlli di accesso.
Il pen test PCI DSS deve coprire sia il livello di rete (network penetration test) che il livello applicativo (application penetration test), incluse le interfacce web e le API esposte. Il tester deve simulare attacchi sia dall'esterno (external pen test) che dall'interno della rete (internal pen test). I risultati devono essere documentati, le vulnerabilità identificate devono essere risolte e il remediation deve essere verificato con un re-test.
Penetration test vs vulnerability scan: non sono la stessa cosa
Un errore comune è confondere il penetration test con il vulnerability scan. Il vulnerability scan è un processo automatizzato che identifica vulnerabilità note attraverso la comparazione con database di CVE: fornisce un elenco di potenziali problemi ma non verifica se sono effettivamente sfruttabili. Il PCI DSS richiede vulnerability scan trimestrale eseguito da un ASV (Approved Scanning Vendor) certificato.
Il penetration test è invece un'attività manuale condotta da un esperto di sicurezza che tenta attivamente di sfruttare le vulnerabilità identificate. Verifica non solo se una vulnerabilità esiste, ma se può essere usata per accedere ai dati carta o per muoversi lateralmente nella rete. I due strumenti sono complementari, non intercambiabili, e il PCI DSS richiede entrambi con frequenze diverse.
Meno CDE, meno costi di pen test
Il costo di un penetration test è direttamente proporzionale alla dimensione e alla complessità del perimetro da testare. Ogni sistema nel CDE deve essere incluso nel scope del pen test: più sistemi ci sono, più ore di lavoro servono, più alto è il costo. Un CDE che comprende 10 server, 3 database, 2 applicazioni web e una rete segmentata costerà molte volte di più da testare rispetto a un CDE minimale.
La tokenizzazione riduce il CDE e, di conseguenza, il perimetro del pen test. Se i tuoi server non trattano mai PAN, non devono essere inclusi nel pen test PCI DSS: il test si concentra solo sui componenti che gestiscono token e sulle interfacce di comunicazione con il vault di PCI Proxy EU, che è già certificato Level 1. Il risparmio annuale sul solo pen test può essere superiore al costo della soluzione di tokenizzazione.
Domande frequenti
Posso usare lo stesso report di pen test per PCI e per altri framework?
In parte. Il pen test PCI DSS ha requisiti specifici di scope, metodologia e documentazione che devono essere esplicitamente indirizzati nel report. Alcuni framework (come ISO 27001 o SOC 2) accettano report di pen test condivisi se coprono le stesse aree, ma il report deve essere personalizzato per i requisiti PCI e includere la verifica della segmentazione di rete, che è un elemento specifico del PCI.
Il cloud provider fa il pen test per me?
No. Il cloud provider (AWS, Azure, GCP) è responsabile della sicurezza dell'infrastruttura fisica e della piattaforma cloud (modello di responsabilità condivisa), non dei sistemi e delle applicazioni che il merchant distribuisce su quella piattaforma. Il pen test PCI DSS deve coprire i sistemi e le applicazioni del merchant, anche se eseguono in cloud. Molti provider richiedono una notifica preventiva prima di eseguire pen test sulla loro piattaforma.
La tokenizzazione azzera il pen test?
Non azzera il pen test, ma lo riduce significativamente. Con un CDE minimale, il pen test si concentra sulle interfacce API con il vault e sui controlli di accesso residui. Il vault di PCI Proxy EU è già certificato PCI DSS Level 1 e sottoposto a pen test autonomamente: non devi includere l'infrastruttura del vault nel tuo scope di test.
Vuoi ridurre il perimetro del pen test e i costi di compliance associati? Scopri PCI Proxy EU.