Testy penetracyjne są obowiązkowym elementem programu zgodności PCI DSS dla sprzedawców Level 1 i service providerów. Jednak wiele organizacji nie jest pewna, kiedy dokładnie są wymagane, co muszą obejmować i jak można ograniczyć ich zakres i koszt. Ten artykuł wyjaśnia wymagania PCI DSS v4.0 dotyczące testów penetracyjnych i strategie minimalizacji kosztów.
Kiedy testy penetracyjne PCI DSS są obowiązkowe
PCI DSS wymaga testów penetracyjnych w następujących przypadkach: Level 1 merchants i service providerzy Level 1: coroczny zewnętrzny i wewnętrzny test penetracyjny (Wymaganie 11.4). Service providerzy Level 1: dodatkowy test penetracyjny segmentacji, jeśli używają segmentacji sieciowej do ograniczenia zakresu. Po każdej znaczącej zmianie infrastruktury lub aplikacji w CDE: test po zmianie, nie czekając na roczny cykl. Po naruszeniu danych: test weryfikujący, że wykryta podatność została naprawiona.
Wymagania PCI DSS v4.0 dla testów penetracyjnych
PCI DSS v4.0 Wymaganie 11.4 precyzuje: metodologia pen testów musi być udokumentowana i zatwierdzona przez organizację, test musi obejmować CDE i systemy krytyczne, musi weryfikować segmentację sieciową (jeśli stosowana), test aplikacji musi obejmować przynajmniej OWASP Top 10, wyniki muszą być udokumentowane i przekazane odpowiednim interesariuszom, znalezione podatności muszą być naprawione i zweryfikowane przez re-test.
Kto może przeprowadzać testy penetracyjne PCI DSS
PCI DSS v4.0 wymaga, aby testy penetracyjne były przeprowadzane przez: kompetentnego testera z odpowiednim doświadczeniem (certyfikacje OSCP, CEH, GPEN lub równoważne), niezależnego od testowanego środowiska (brak konfliktu interesów), organizacyjnie niezależnego od właściciela systemu (może to być wewnętrzny tester z innego działu lub zewnętrzna firma). Dla Level 1, preferowani są zewnętrzni testerzy ze względu na wymagania niezależności.
Koszty testów penetracyjnych PCI DSS
Koszty zewnętrznych testów penetracyjnych PCI DSS vary: małe środowisko (ograniczony CDE, kilka serwerów): 3-10 tys. euro za test, średnie środowisko: 10-30 tys. euro, duże środowisko z wieloma komponentami: 30-100 tys. euro lub więcej. Koszty roczne są pomnożone przez liczbę testów wymaganych. Organizacje z rozległym CDE mogą płacić 50-200 tys. euro rocznie za testy penetracyjne. To silna motywacja do ograniczenia CDE przez tokenizację.
Jak tokenizacja ogranicza zakres i koszt testów penetracyjnych
Redukcja CDE przez tokenizację bezpośrednio zmniejsza zakres i koszt testów penetracyjnych. Jeśli e-commerce sprzedawca używa hosted fields PCI Proxy EU, jego serwery nie wchodzą w zakres CDE – nie wymagają testów penetracyjnych PCI DSS. Sprzedawca kwalifikujący się do SAQ A nie ma obowiązku corocznych testów penetracyjnych (SAQ A nie wymaga testów). Oszczędności mogą wynosić 5-50 tys. euro rocznie przy przejściu z SAQ D do SAQ A przez tokenizację.
Ogranicz zakres testów penetracyjnych z tokenizacją
Tokenizacja PCI Proxy EU może wyeliminować Twoje systemy z zakresu testów penetracyjnych PCI DSS.
Porozmawiaj z ekspertem