La prueba de penetração PCI DSS es uno de los trámites mais onerosos en términos de custo e preparação: una prueba sobre un CDE de complejidade media pode costar entre 5.000 e 20.000 euros, deve realizarse al menos una vez al año e deve ser llevada a cabo por un sujeto cualificado e independiente. Para un comerciante o una pyme que quiere controlar los custos de conformidade, reduzir el perímetro sujeto a prueba de penetração es una prioridade estratégica.
Quando es obligatoria la prueba de penetração PCI DSS e con qué frecuencia
El Requisito 11.4 del PCI DSS v4.0 exige que los comerciantes realicen una prueba de penetração al menos una vez cada 12 meses e tras cualquier modificação significativa de la infraestrutura o de las aplicaciones en el perímetro CDE. "Modificação significativa" inclui la incorporação de nuevos sistemas, cambios en la topología de red, actualizaciones importantes de las aplicaciones de pago e modificaciones en los controles de acceso.
La prueba de penetração PCI DSS deve cubrir tanto el nivel de red (prueba de penetração de red) como el nivel aplicativo (prueba de penetração de aplicaciones), incluidas las interfaces web e las API expuestas. El evaluador deve simular ataques tanto desde el exterior (prueba externa) como desde el interior de la red (prueba interna). Los resultados devem estar documentados, las vulnerabilidades identificadas devem ser resueltas e la remediação deve verificarse con una nueva prueba.
Prueba de penetração frente a escaneo de vulnerabilidades: no são lo mismo
Un error habitual es confundir la prueba de penetração con el escaneo de vulnerabilidades. El escaneo de vulnerabilidades es un proceso automatizado que identifica vulnerabilidades conocidas comparándolas con bases de dados de CVE: proporciona una lista de posibles problemas mas no verifica si são realmente explotables. El PCI DSS exige un escaneo de vulnerabilidades trimestral realizado por un ASV (Approved Scanning Vendor) certificado.
La prueba de penetração es, en cambio, una actividade manual llevada a cabo por un experto en segurança que intenta activamente explotar las vulnerabilidades identificadas. Verifica no apenas si existe una vulnerabilidade, sino si pode utilizarse para acceder a los dados de cartão o moverse lateralmente por la red. Ambas ferramentas são complementarias, no intercambiables, e el PCI DSS exige las dos con frecuencias diferentes.
Menos CDE, menos custos de prueba de penetração
El custo de una prueba de penetração es directamente proporcional al tamaño e la complejidade del perímetro a testear. Cada sistema en el CDE deve incluirse en el âmbito de la prueba: cuantos mais sistemas haya, mais horas de trabajo se precisam, mais alto es el custo. Un CDE que comprende 10 servidores, 3 bases de dados, 2 aplicaciones web e una red segmentada costará muchas veces mais de testear que un CDE mínimo.
La tokenização reduz el CDE y, en consecuencia, el perímetro de la prueba de penetração. Si os seus servidores nunca procesan PAN, no têm que incluirse en la prueba de penetração PCI DSS: la prueba se centra únicamente en los componentes que gerem tokens e en las interfaces de comunicação con el vault de PCI Proxy EU, que ya está certificado Level 1. El poupança anual exclusivamente en la prueba de penetração pode superar el custo de la solução de tokenização.
Preguntas frecuentes
Puedo usar el mismo relatório de prueba de penetração para PCI e otros frameworks?
En parte. La prueba de penetração PCI DSS tem requisitos específicos de âmbito, metodología e documentação que devem ser abordados explícitamente en el relatório. Algunos frameworks (como ISO 27001 o SOC 2) aceptan informes de prueba de penetração compartidos si cubren las mismas áreas, mas el relatório deve personalizarse para los requisitos PCI e incluir la verificação de la segmentação de red, que es un elemento específico de PCI.
El fornecedor cloud realiza la prueba de penetração por mí?
No. El fornecedor cloud (AWS, Azure, GCP) es responsable de la segurança de la infraestrutura física e de la plataforma cloud (modelo de responsabilidade compartida), no de los sistemas e aplicaciones que el comerciante despliega en esa plataforma. La prueba de penetração PCI DSS deve cubrir los sistemas e aplicaciones del comerciante, embora se ejecuten en la nube. Muchos fornecedores exigen una notificação previa antes de realizar testes de penetração en su plataforma.
La tokenização elimina la prueba de penetração?
No la elimina, mas la reduz significativamente. Con un CDE mínimo, la prueba de penetração se centra en las interfaces API con el vault e en los controles de acceso residuales. El vault de PCI Proxy EU ya está certificado PCI DSS Level 1 e se somete a testes de penetração de forma autónoma: no precisa incluir la infraestrutura del vault en su âmbito de prueba.
Quiere reduzir el perímetro de la prueba de penetração e los custos de conformidade asociados? Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.