DePCI DSS Penetratietestis een de kostspieligsten en op het häufigsten missverstandenen Pflichten van de Standaarden. Viele Handelaar verwechseln Penetratietests met Schwachstellenscans, unterschätzen de Kosten of zijn zich niet veilig, Wanneer u genau verplicht zijn. Vereiste 11.4 van PCI DSS v4 legt precieze fest, Hoe De Pen Test durchführen moet, Hoe oft en na welchen Kriterien. De Reduzierung van de te testenden Perimeters via Tokenisatie is de meest effectieve Hebel naar de Senkung de Kosten Deze terugkerende Pflicht.
De Pen-Test-Pflicht in PCI DSS: Vereisten en Häufigkeit
PCI DSS verlangt Penetratietests voor Handelaar, de über eigene Systemen in uwCDE(Cardholder Data Environment) verfügen. Het geldt niet voor Handelaar met SAQ-A-Bereik, de geen eigenen Systemen hebben, de Kaartgegevens berühren. Voor Alle anderen legt Vereiste 11.4 van PCI DSS v4 fest, dat de Pen Test mindestens eenmalig jaarlijks en na Elke essentiële Änderung de Infrastructuur of Applicaties in het CDE-Perimeter durchgeführt worden moet. De Vereiste geldt zowel voor Webanwendungen als ook voor de Netzwerkinfrastruktur, met unterschiedlichen Ansätzen voor Beide Ebenen.
De PCI DSS Pen Test moet een anerkannten Methodik (OWASP, PTES, NIST SP 800-115 of gleichwertig) folgen en moet zowel Tests van außen (externer Pen Test) als ook van innerhalb van de Perimeters (interner Pen Test) omvatten. Het moet Netzwerksegmentierungskontrollen testen en überprüfen, ob deCDEeffektiv van het Rest van de Unternehmensnetzwerks isoliert is. In PCI DSS v4 worden de Vereisten naar de Documentatie van Ergebnissen en Sanierungsplänen gestärkt: reicht niet uit, De Test durchzuführen, man moet aantonen, dat kritische identifizierte Kwetsbaarheden innerhalb de vorgeschriebenen Fristen behoben worden.
Wat kostet een PCI DSS Pen Test?
De Kosten een PCI DSS Pen Tests variieren erheblich u na Infrastrukturkomplexität en Anzahl de Systemen in het Perimeter. Voor een mittelgroßen Handelaar met een CDE, de Webserver, Databases, Back-Office-Systemen en Netzwerkinfrastruktur umfasst, liegen de typische Kosten een jährlichen Pen Tests tussen8.000 en 30.000 €. Voor komplexere Infrastrukturen of Handelaar met maßgeschneiderten Applicaties kunnen de Kosten höher sein. Hinzu kommen Sanierungskosten voor identifizierte Kwetsbaarheden en de Kosten een Verifizierungs-Pen-Tests (Retest), De viele Acquirer na de Behebung kritieke Kwetsbaarheden vereisen.
De Unterschied tussen Penetratietest enSchwachstellenscanis fundamenteel voor het Verständnis de Kosten. De Schwachstellenscan is een automatisierter Proces, de bekannte Kwetsbaarheden via Vergleich met Databases Hoe CVE identifiziert. PCI DSS verlangt vierteljährliche Schwachstellenscans via een genehmigtenASV, met Kosten ab einigen hundert Euro pro Scan. De Pen Test hingegen is een manuelle Aktivität, de van Sicherheitsexperten durchgeführt wordt, de aktiv versuchen, identifizierte Kwetsbaarheden auszunutzen, om de werkelijke Auswirkung te überprüfen. Het kan niet via automatisierte Schwachstellenscans ersetzt worden, ook wanneer zich de beiden Tools ergänzen.
Pen-Test-Kosten via Perimeter-Reduzierung senken
De Kosten een PCI DSS Pen Tests zijn direct proportional naar de Größe en Komplexität van de te testenden Perimeters. Elke Systeem in de CDE moet in de Pen-Test-Bereik einbezogen worden: Meer Systemen bedeuten Meer Arbeitsstunden en höhere Kosten. Een CDE met 10 Servers, 3 Databases, 2 Webanwendungen en een segmentierten Netwerk kostet een Vielfaches Meer te testen als een minimale CDE.
Tokenisatie verkleint de CDE en damet de Pen-Test-Perimeter. Wanneer Uw Server nooitPANsverwerken, moeten u niet in de PCI DSS Pen Test einbezogen worden: De Test konzentriert zich alleen op de Komponenten, de Token verwalten, en de Kommunikationsschnittstellen met het PCI Proxy EU Vault, de al Level-1-gecertificeerd is. De jährlichen Einsparungen beim Pen Testing allein kunnen de Kosten de Tokenisierungslösung übersteigen.
Veelgestelde vragen
Moet een PCI Pen Test van een gecertificeerde Aanbieder durchgeführt worden?
PCI DSS verlangt niet, dat de Pen Test van een speziell gecertificeerde Aanbieder durchgeführt wordt, anders als de Schwachstellenscan, de van een genehmigten ASV durchgeführt worden moet. PCI SSC verlangt, dat de Pen Test van qualifiziertem en unabhängigem Personal (intern of extern) met nachweisbaren Offensiv-Sicherheitskenntnissen durchgeführt wordt. In de Praxis accepteren de meisten Acquirer en QSAs Pen Tests van Sicherheitsunternehmen met anerkannten Zertifizierungen Hoe OSCP, CEH of CREST.
Wat passiert, wanneer de Pen Test kritische Kwetsbaarheden findet?
Wanneer de Pen Test kritische Kwetsbaarheden identifiziert, moet de Handelaar u innerhalb de Fristen seines Sanierungsplans beheben en typischerweise een Verifizierungs-Pen-Test (Retest) durchführen, om te bestätigen, dat de Kwetsbaarheden effektiv behoben worden. PCI DSS v4 verlangt de Documentatie van de Sanierungsprozesses. Wanneer kritische Kwetsbaarheden niet behoben worden, kan de Handelaar PCI DSS-naleving voor deze Bewertungszyklus niet bestätigen, Wat te Sanierungsanforderungen van de Acquirers führen kan.
Met een reduzierten CDE is de Pen Test wirklich günstiger?
Ja, erheblich. De Kosten een Pen Tests hängen van de Anzahl de Systemen, Applicaties en Netzwerkschnittstellen in het Perimeter ab. Een op wenige Systemen (of eliminiertete) CDE verkleint de Testkosten proportional. Een SAQ-A-Handelaar heeft geen eigene CDE en is niet de Pen-Test-Vereiste unterworfen: De Einsparung beträgt 100 % bij deze Posten. Een Handelaar met een op 3-5 Systemen reduzierten CDE zahlt een 5-10-mal günstigeren Pen Test als een Handelaar met een Volledige CDE van 50 Komponenten.
Reduzierter Perimeter betekent schnelleren, günstigeren Pen Test, en oft gar geen Vereiste: Tokenisatie is de effizienteste Investition naar de Senkung de laufenden PCI DSS-Naleving-Kosten.PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op