PCI DSS

Se você contratou a Vantico para um teste de intrusão PCI DSS, haverá algumas pequenas diferenças em comparação ao nosso processo regular de teste de intrusão. Os objetivos principais do teste de intrusão PCI DSS são:

  • Valide se o ambiente de dados do titular do cartão (CDE) é isolado, seguro e compatível com os padrões PCI DSS.

  • Garanta que os dados do titular do cartão (CHD) estejam protegidos contra acesso não autorizado.

  • Identifique e corrija vulnerabilidades que possam comprometer os dados do titular do cartão.

Como resultado, os seguintes processos serão ligeiramente diferentes:

  • O escopo do teste de intrusão.

  • A documentação antes do teste de intrusão do aplicativo PCI DSS.

  • A frequência dos testes de intrusão.

Escopo de um teste de intrusão de aplicativo PCI DSS:

Durante a chamada de escopo, além dos pontos já mencionados, os seguintes aspectos também serão considerados para um teste de intrusão de aplicativo PCI DDS:

  • Teste de Segurança de Aplicação

    • Teste todos os aplicativos dentro do CDE que lidam com CHD para identificar vulnerabilidades de segurança, incluindo aqueles que aderem aos padrões OWASP. Isso envolve avaliar ameaças comuns, como injeção de SQL, Cross-Site Scripting (XSS), vulnerabilidades de autenticação e falhas de autorização.

  • Teste Aplicação Externa

    • Simule ataques em aplicativos acessíveis externamente que fornecem acesso ou protegem CHD. Testes externos verificam a segurança de aplicativos voltados para a internet identificando configurações incorretas, portas expostas e vulnerabilidades de acesso externo.

  • Teste Aplicação Interna

    • Realize avaliações em aplicativos acessíveis de dentro da rede interna. Isso envolve testes de acesso não autorizado, escalonamento de privilégios e riscos potenciais de movimentação lateral se um usuário obtiver acesso não autorizado ao CDE.

  • Teste de Segmentação

    • Confirme se a segmentação de rede isola efetivamente os aplicativos relacionados ao CHD do restante do ambiente, minimizando o escopo do PCI.

Documentação fornecida antes do teste de intrusão do aplicativo PCI DSS:

Considere fornecer a seguinte documentação antes ou depois da chamada de escopo:

  • Um diagrama de rede ilustrando todos os segmentos de rede dentro do escopo do teste;

  • Um diagrama de fluxo de dados do titular do cartão;

  • Uma lista de todos os serviços e portos previstos expostos no perímetro do CDE;

  • Detalhes sobre como usuários autorizados acessam o CDE;

  • Uma lista de todos os segmentos de rede que foram isolados do CDE para minimizar o escopo.

Frequência de um teste de intrusão PCI DSS

De acordo com os Requisitos 11.3.1 e 11.3.2 do PCI DSS, o teste de intrusão é obrigatório pelo menos anualmente e após quaisquer alterações substanciais no ambiente de rede. Essas alterações podem abranger atualizações de infraestrutura, modificações de aplicativos ou a instalação de novos componentes do sistema.

A definição de uma "mudança significativa" flutua com base no processo de avaliação de risco de uma organização e na configuração específica de seu ambiente. Como o PCI DSS não fornece uma definição rígida de uma mudança significativa, cabe a cada entidade avaliar se uma mudança pode comprometer a segurança da rede ou expor os dados do titular do cartão. Se uma modificação pode afetar a segurança ou o acesso aos dados do titular do cartão, geralmente é considerada significativa e deve levar a um teste de intrusão.

Exemplo de uma mudança significativa

Migração para um novo sistema de firewall: atualizar ou substituir o firewall que protege o CDE é uma mudança substancial porque afeta diretamente a segurança da rede. Essa transição pode introduzir novas configurações, alterar caminhos de rede e influenciar o fluxo de dados, comprometendo potencialmente os dados do titular do cartão. Dado o papel crítico que os firewalls desempenham na segurança, um teste de intrusão é essencial para validar se os controles de segurança estão funcionando conforme o esperado.

Exemplo de uma mudança não significativa

Patch para um sistema não CDE: aplicar um pequeno patch de software a um sistema fora do CDE que não interage com ou impacta os dados do titular do cartão seria considerado uma mudança não significativa. Essa manutenção não altera os controles de segurança no CDE nem afeta o acesso a dados confidenciais, portanto, um teste de intrusão sob PCI DSS não é necessário.

PreviousCorreçãoNextPerguntas frequentes

Last updated