La prueba de penetração PCI DSS es una de las obrigações mais costosas e menos comprendidas del estándar. Muchos comerciantes confunden la prueba de penetração con el escaneo de vulnerabilidades, subestiman los custos o no saben exactamente quando es obligatoria. El Requisito 11.4 del PCI DSS v4 especifica con precisión quem deve realizar la prueba de penetração, con qué frecuencia e con qué criterios. Reduzir el perímetro a testear mediante la tokenização es la palanca mais eficaz para reduzir los custos de esta obligação recurrente.
La obligação de prueba de penetração en PCI DSS: requisitos e frecuencia
El PCI DSS exige la prueba de penetração para los comerciantes que têm sistemas propios en su CDE (Cardholder Data Environment). No se aplica a los comerciantes con un perímetro SAQ A, que no têm sistemas propios que manejen dados de cartão. Para todos los demás, el Requisito 11.4 del PCI DSS v4 establece que la prueba de penetração deve realizarse al menos una vez al año e después de cualquier modificação significativa de la infraestrutura o de las aplicaciones del CDE. El requisito se aplica tanto a las aplicaciones web como a la infraestrutura de red, con enfoques distintos para ambos niveles.
La prueba de penetração PCI DSS deve seguir una metodología reconocida (OWASP, PTES, NIST SP 800-115 o equivalente) e incluir tanto testes desde el exterior (prueba de penetração externa) como desde el interior del perímetro (prueba de penetração interna). Deve verificar los controles de segmentação de red, comprobando que el CDE esté efectivamente isolado del resto de la red corporativa. En el PCI DSS v4 se han reforzado los requisitos de documentação de resultados e planes de remediação: no basta con realizar la prueba, há que demostrar que se han resuelto las vulnerabilidades críticas identificadas en los prazos establecidos.
Cuánto cuesta una prueba de penetração PCI DSS en Europa
Los custos de una prueba de penetração PCI DSS en Europa varían significativamente en função de la complejidade de la infraestrutura e del número de sistemas en el perímetro. Para un comerciante de tamaño medio con un CDE que inclui servidores web, bases de dados, sistemas de back-office e infraestrutura de red, el custo típico de una prueba anual oscila entre 8.000 e 30.000 euros. Para infraestructuras mais complejas o para comerciantes con aplicaciones personalizadas, los custos podem ser superiores. A esto se añaden los custos de remediação de las vulnerabilidades identificadas e el custo de la prueba de verificação (retest) que muchos adquirentes exigen tras la resolução de las vulnerabilidades críticas.
La diferencia entre la prueba de penetração e el escaneo de vulnerabilidades es fundamental para entender los custos. El escaneo de vulnerabilidades es un proceso automatizado que identifica vulnerabilidades conocidas en los sistemas analizando las firmas de vulnerabilidades frente a bases de dados como CVE. El PCI DSS exige un escaneo de vulnerabilidades trimestral por parte de un ASV aprobado, con custos que parten de unos pocos cientos de euros por escaneo. La prueba de penetração es, en cambio, una actividade manual llevada a cabo por profesionales de la segurança que intentan activamente explotar las vulnerabilidades para verificar el impacto real. No pode sustituirse por el escaneo automático de vulnerabilidades, embora ambas ferramentas se complementan.
Reduzir los custos de la prueba de penetração reduciendo el perímetro
El custo de una prueba de penetração PCI DSS es directamente proporcional al tamaño del perímetro a testear. Un comerciante con un CDE que inclui 50 sistemas paga mucho mais que uno con un CDE de 5 sistemas. La tokenização reduz el CDE trasladando la gestão de los dados de cartão al fornecedor certificado. El comerciante que no tem sistemas propios que manejen dados de cartão no tem un CDE y, por tanto, no está sujeto al requisito de prueba de penetração (entraría en el perímetro SAQ A). El comerciante que tem apenas unos pocos sistemas en el perímetro reducido paga una prueba de penetração proporcionalmente mais económica.
Un ejemplo concreto: un comerciante de comércio electrónico que hoy gere una aplicação web personalizada con recogida directa de dados de cartão vía API, una base de dados que armazena los PAN tokenizados internamente e infraestrutura de alojamiento propia, tem un CDE que pode incluir decenas de componentes. Tras la migração a una página de pago hospedada con tokenização externa, ese mismo comerciante no tem ya sistemas propios en el CDE. La prueba de penetração anual deja de ser aplicable al perímetro del comerciante (es el fornecedor quien deve realizar la prueba de penetração de su infraestrutura certificada, no el comerciante). El poupança en la prueba de penetração anual por sí apenas pode justificar la inversión en tokenização en menos de dos años.
Preguntas frecuentes
Una prueba de penetração PCI deve realizarla un fornecedor certificado?
El PCI DSS no exige que la prueba de penetração sea realizada por un fornecedor certificado por un organismo específico, a diferencia del escaneo de vulnerabilidades que deve ser efectuado por un ASV aprobado. El PCI SSC exige que la prueba sea ejecutada por personal cualificado e independiente (interno o externo) con competencias demostrables en segurança ofensiva. En la práctica, la mayoría de los adquirentes e QSA acepta testes de penetração realizadas por empresas de segurança con certificaciones reconocidas como OSCP, CEH o CREST. Verifique con su adquirente los requisitos específicos.
Qué ocurre si la prueba de penetração detecta vulnerabilidades críticas?
Si la prueba de penetração identifica vulnerabilidades críticas, el comerciante deve resolverlas en los prazos previstos por su plan de remediação y, tipicamente, realizar una prueba de verificação (retest) para confirmar que las vulnerabilidades han sido efectivamente corregidas. El PCI DSS v4 exige documentação del proceso de remediação. Si las vulnerabilidades críticas no se resuelven, el comerciante no pode certificar la conformidade PCI DSS para ese ciclo de evaluação, lo que pode acarrear solicitudes de remediação por parte del adquirente.
Con un CDE reducido la prueba de penetração es realmente mais económica?
Sí, de forma significativa. El custo de una prueba de penetração depende del número de sistemas, aplicaciones e interfaces de red en el perímetro. Un CDE reducido a unos pocos sistemas (o eliminado) reduz proporcionalmente el custo de la prueba. Un comerciante SAQ A no tem un CDE propio e no está sujeto al requisito de prueba de penetração: el poupança es del 100% en esta partida. Un comerciante con CDE reducido a 3-5 sistemas pagará una prueba de penetração entre 5 e 10 veces menos que uno con un CDE completo de 50 componentes.
Un perímetro reducido significa una prueba de penetração mais rápida, menos costosa y, a menudo, innecesaria: la tokenização es la inversión mais eficiente para reduzir los custos recurrentes de conformidade PCI DSS. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos