05.06.2024
Індустрія платіжних карток завжди привертає увагу хакерів. Тому ця сфера потребує підвищеної уваги до кіберзахисту. 
Рада зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC) 31 березня 2022 року опублікувала оновлену версію стандарту PCI DSS 4.0. Минула версія стандарту PCI DSS 3.2.1 була скасована після 31 березня 2024 року, і вже діє PCI DSS 4.0. 
У цій статті ми розглянемо лише ті вимоги, які стосуються тесту на проникнення (пентесту). 

Чи потрібно виконувати пентест для відповідності вимогам PCI DSS?

Тести на проникнення повинні регулярно проводитися - це одна з вимог, яку необхідно виконати для сертифікації PCI DSS. Згідно з вимогою 11.4, слід проводити зовнішні та внутрішні тести на проникнення кожні 12 місяців або після значних змін у інформаційній системі.
Ці вимоги також встановлюють перевірки тестування сегментації, які виходять за рамки більшості стандартних тестів на проникнення. У вимозі 11.4 чітко зазначено, що компанії повинні визначити, задокументувати та впровадити методологію тестування на проникнення, яка включає:• Прийняті в галузі підходи до тестування на проникнення;• Покриття всього периметра середовища даних власників карток (CDE) та критичних систем;• Тестування внутрішньої та зовнішньої мережі;• Тестування для підтвердження будь-яких засобів керування сегментацією;• Тестування на проникнення на прикладному рівні для виявлення вразливостей, принаймні перелічених у вимозі 6.2.4;• Тести на проникнення мережевого рівня, які охоплюють усі компоненти, які підтримують функції мережі, а також операційні системи;• Огляди та розгляд загроз і вразливостей, які виникли за останні 12 місяців;• Задокументовані підходи до оцінки та усунення ризику, створеного експлуатаційними вразливими місцями, виявленими під час тестування на проникнення;• Зберігання результатів тестування на проникнення та результатів заходів із відновлення протягом 12 місяців.
Постачальники послуг повинні проводити пентест кожні шість місяців і в разі внесення значних змін у систему. Але що розуміється під "значною зміною"?Поняття "значні зміни" потребує глибшого розуміння, тому у версії PCI DSS 4.0 наведено декілька конкретних прикладів. Розуміючи, що кожна компанія унікальна, для кожної сертифікації необхідний індивідуальний підхід з боку представників компанії і аудиторів створено зручний графік проведення пентестів, який відповідає графіку змін у ІТ-інфраструктурі. 
Нижче подано деякі приклади значних змін, які потребують подальшої перевірки за допомогою тестування на проникнення:• Додавання будь-якого нового обладнання, програмного забезпечення або мережевого обладнання;• Оновлення або заміна обладнання та програмного забезпечення;• Зміни, які впливають на потік або зберігання даних власника картки;• Зміни, які впливають на межі CDE або обсяг вашого оцінювання PCI DSS;• Зміни допоміжної інфраструктури, як-от служби каталогів, моніторинг і журналювання;• Будь-які зміни сторонніх постачальників або служб, які підтримують CDE.

Вимоги до сканування вразливостей PCI

Сканування вразливостей вважається важливим елементом вимог PCI DSS. Вимога 11.2 надає наступну інформацію. Проводьте сканування вразливостей внутрішньої та зовнішньої мереж кожний квартал, особливо після будь-яких істотних змін у мережі. Усуньте виявлені вразливості та, за необхідності, повторіть сканування, поки не буде досягнуто успіху.
Одна з важливих вимог PCI DSS - проведення сканування на наявність уразливостей. Вимога 11.2 наполягає на проведенні сканування внутрішньої та зовнішньої мережі кожні три місяці, особливо після будь-яких значних змін у мережі. Виявлені вразливості повинні бути усунені, і, за потреби, сканування повторюється до досягнення успішного результату.
Після успішного проходження першого сканування на відповідність стандартам PCI DSS компанія повинна провести ще чотири сканування протягом наступного року. Зовнішнє сканування має відбуватися кожен квартал із застосуванням кваліфікованого фахівця, який може бути найнятий зі спеціалізованої компанії. Ці сканування обов'язково проводяться після внесення будь-яких змін у мережу. Внутрішнє сканування може виконувати власний персонал компанії.

Методика тестування на проникнення

Вимога 11.4.1 стосується підходів, які фахівці використовують під час проведення тестів на проникнення. У цій вимозі зазначено, що потрібно використовувати методології, що прийняті у відповідній галузі, які емулюють атаки зловмисників. Важливо підкреслити, що автоматизоване сканування не вважається достатнім для відповідності цій вимозі.

Хто повинен проводити PCI Pentest?

Тестування на проникнення для відповідності стандарту PCI DSS має виконуватися одним із таких варіантів:

1. Кваліфікований внутрішній ресурс із відповідними знаннями та навичками для ретельного та належного виконання тесту на проникнення;
2. Кваліфікований сторонній постачальник послуг безпеки з відповідним досвідом та профільними сертифікаціями.

PCI DSS 4.0 навіть пропонує вказівки щодо вибору зовнішньої третьої сторони для роботи з PCI Pentest у розділі «Належні практики» вимоги 11. PCI SSC рекомендує шукати постачальника з певними сертифікатами тестування на проникнення, які можуть допомогти перевірити рівень кваліфікації та компетентність тестувальника.

Також радимо вибирати постачальників тестів на проникнення з попереднім досвідом у відповідності до PCI DSS. При оцінці кандидатів варто звернути увагу на їхній досвід, типи і обсяги проєктів, які вони раніше виконували, та інші фактори. Важливо переконатися, що досвід постачальника відповідає вашим потребам для постійного і безперебійного дотримання вимог PCI DSS.

На підставі нашого багаторічного досвіду, ми рекомендуємо залучати зовнішніх постачальників для проведення пентестів. Це дозволить виконати всі необхідні завдання ефективно та професійно.

Які вимоги щодо внутрішнього та зовнішнього тестування?

Вимоги DSS 11.4.2 та 11.4.3 передбачають внутрішнє та зовнішнє тестування на проникнення. Тестування може проводити як компанія, сертифікована за стандартом PCI, так і незалежний постачальник послуг, проте обов'язковою є наявність високої кваліфікації. При цьому враховується попередній досвід та наявність галузевих сертифікатів.
У вимозі 11.4.1 зазначається, що необхідно проводити внутрішнє тестування Центрального середовища обробки даних (CDE), а раніше багато організацій не здійснювали цей вид робіт.
Потрібне внутрішнє та зовнішнє тестування всього CDE. Таким чином, тестування на проникнення збільшується за обсягом, включаючи тестування на проникнення мережі та додатків, і потребуватиме відповідної готовності до масштабування для відповідності вимогам PCI DSS 4.0. Будь-яке цифрове середовище, підключене до CDE, включно з мережевими, хмарними та гібридними середовищами, а також додатками, як-от API та веб-додатками, необхідно буде включити до пентестування для відповідності PCI DSS 4.0.

Наскільки часто потрібно проводити тестування на проникнення для відповідності стандарту PCI DSS?

Тестування на проникнення має проводитися принаймні один раз на 12 місяців відповідно до вимоги 11.4, а також у разі будь-якого значного оновлення чи зміни на рівні інфраструктури чи програми. Це не тільки обов’язкова вимога - це вважається найкращою практикою для всіх компаній, які дбають про свій кіберзахист. Включення тестування на проникнення в життєвий цикл розробки програмного забезпечення (SDLC) може запобігти виникненню різних проблем.
PCI DSS також вимагає повторного тестування на проникнення, щоб переконатися, що вразливості, які можна використати, були усунені належним чином і більше не становлять загрози для CDE.

Що потрібно знати про перевірку сегментації?

Перевірка сегментації є одним із компонентів тестування на проникнення, яке проводиться для отримання сертифікації за стандартом PCI DSS.
Вимога DSS 11.4.5 наполягає на тому, щоб тестувальники підтвердили, що сегментація мережі реалізована належним чином. Мета цієї вимоги - підтвердження того, що засоби контролю здатні ефективно ізолювати CDE від інших систем за його межами. Для виконання цієї вимоги, зазвичай, проводяться серії сканувань із кожного сегменту мережі.
У пункті 11.4.6 зазначено, що перевірка сегментації має проводитися кожні шість місяців, а не щорічно.

Проведення пентесту для проходження аудиту PCI DSS 4.0

Наша кваліфікована та досвідчена команда пропонує широкий спектр послуг з тестування на проникнення для підприємств будь-якого розміру, які прагнуть підготуватися до відповідності стандарту PCI DSS 4.0.
Крім того, ми також рекомендуємо взяти до уваги наш комплексний підхід до сертифікації за стандартом PCI DSS, що включає не лише пентест, а й інші необхідні послуги.