PCI DSS Penetratietestszijn een de aufwändigsten Pflichten in Bezug op Kosten en Vorbereitung: Een Test op een mittelkomplexen CDE kan tussen5.000 en 20.000 €kosten, moet mindestens eenmalig jaarlijks durchgeführt worden en van een qualifizierten unabhängigen Partei durchgeführt worden. Voor een Handelaar of een KMU, het de Naleving-Kosten kontrollieren möchte, is de Reduzierung van de het Pen Test unterliegenden Perimeters een strategische Priorität.
Wanneer PCI DSS Pen Testing Pflicht is en Hoe oft
Vereiste 11.4van PCI DSS v4.0 verlangt van Handelaren, mindestens Alle 12 Maanden en na Elke essentiële Änderung de Infrastructuur of Applicaties in het CDE-perimeter binnenen Penetratietest durchzuführen. "Wezenlijke Änderung" umfasst het Hinzufügen Nieuwe Systemen, Änderungen de Netzwerktopologie, größere Updates van Betalingsapplicaties en Änderungen de Zugriffskontrollen.
De PCI DSS Pen Test moet zowel de Netzwerkebene (Netwerk-Penetratietest) als ook de Anwendungsebene (Anwendungs-Penetratietest) abdecken, einschließlich Webschnittstellen en exponierten APIs. De Tester moet Aanvallen zowel van außen (externer Pen Test) als ook van innerhalb van de Netzwerks (interner Pen Test) simulieren. Ergebnisse moeten gedocumenteerd, identifizierte Kwetsbaarheden moeten behoben en de Sanierung moet met een Retest verifiziert worden.
Penetratietest vs. Schwachstellenscan: is niet dasselbe
Een häufiger Fout is de Verwechslung van de Penetratietests met het Schwachstellenscan. DeSchwachstellenscanis een automatisierter Proces, de bekannte Kwetsbaarheden via Vergleich met CVE-Databases identifiziert: Het liefert een Liste potenzieller Probleme, verifiziert maar niet, ob u tatsächlich ausnutzbar zijn. PCI DSS verlangt vierteljährliche Schwachstellenscans via een gecertificeerdeASV(Approved Scanning Vendor).
DePenetratietesthingegen is een manuelle Aktivität, de van een Sicherheitsexperten durchgeführt wordt, de aktiv versucht, identifizierte Kwetsbaarheden auszunutzen. Het überprüft niet alleen, ob een Kwetsbaarheid vorhanden is, sondern ob u genutzt worden kan, om op Kaartgegevens zuzugreifen of zich lateral in het Netwerk te bewegen. De beiden Tools zijn komplementär, niet austauschbar, en PCI DSS verlangt Beide in unterschiedlichen Häufigkeiten.
Minder CDE, niedrigere Pen-Test-Kosten
De Kosten een Penetratietests zijn direct proportional naar de Größe en Komplexität van de te testenden Perimeters. Elke Systeem in de CDE moet in de Pen-Test-Bereik einbezogen worden: Meer Systemen bedeuten Meer Arbeitsstunden en höhere Kosten. Een CDE met 10 Servers, 3 Databases, 2 Webanwendungen en een segmentierten Netwerk kostet een Vielfaches Meer te testen als een minimale CDE.
Tokenisatie verkleint de CDE en damet de Pen-Test-Perimeter. Wanneer Uw Server nooitPANsverwerken, moeten u niet in de PCI DSS Pen Test einbezogen worden: De Test konzentriert zich alleen op de Komponenten, de Token verwalten, en de Kommunikationsschnittstellen met het PCI Proxy EU Vault, de al Level-1-gecertificeerd is. De jährlichen Einsparungen beim Pen Testing allein kunnen de Kosten de Tokenisierungslösung übersteigen.
Veelgestelde vragen
Kan ik denselben Pen-Test-Rapport voor PCI en andere Frameworks gebruiken?
Teilweise. De PCI DSS Pen Test heeft specifieke Bereik-, Methodik- en Dokumentationsanforderungen, de in het Rapport explizit adressiert worden moeten. Sommige Frameworks (Hoe ISO 27001 of SOC 2) accepteren gemeinsame Pen-Test-Rapporten, wanneer u dieselben Gebieden abdecken, maar de Rapport moet op PCI-Vereisten zugeschnitten sein en de Netzwerksegmentierungsüberprüfung bevatten, de een PCI-spezifisches Element is.
Voert de Cloud-Aanbieder De Pen Test voor mij via?
Nein. De Cloud-Aanbieder (AWS, Azure, GCP) is voor de Beveiliging de physischen Infrastructuur en Cloud-Plattform verantwortlich (Shared-Responsibility-Modell), niet voor de Systemen en Applicaties, de de Handelaar op deser Plattform deployt. De PCI DSS Pen Test moet de Systemen en Applicaties van de Handelaar abdecken, ook wanneer u in de Cloud laufen. Viele Aanbieder vereisen een vorherige Benachrichtigung, bevor Pen Tests op uw Plattform durchgeführt worden.
Elimineert Tokenisatie De Pen Test?
U elimineert De Pen Test niet, verkleint ihn maar erheblich. Met een minimalen CDE konzentriert zich de Pen Test op de API-Interfaces met het Vault en de verbleibenden Zugriffskontrollen. De PCI Proxy EU Vault is al PCI DSS Level 1 gecertificeerd en unterzieht zich zijn eigenen Pen-Test-Pflichten autonom: U moeten de Vault-Infrastructuur niet in Uw Testscope einbeziehen.
Möchten U De Pen-Test-Perimeter en de damit verbundenen Naleving-Kosten verkleinen?PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op