05.06.2024
Branża kart płatniczych stale przyciąga uwagę hakerów. Dlatego obszar ten wymaga zwiększonej uwagi w zakresie cyberochrony. 
Rada ds. Standardów Bezpieczeństwa Branży Kart Płatniczych (Payment Card Industry Security Standards Council, PCI SSC) opublikowała 31 marca 2022 roku zaktualizowaną wersję standardu PCI DSS 4.0. Poprzednia wersja standardu PCI DSS 3.2.1 została anulowana 31 marca 2024 roku. Obecnie obowiązuje wersja PCI DSS 4.0. 
W tym artykule rozważymy tylko wymogi dotyczące testów penetracyjnych (pentestów).

Czy wymagane jest wykonywanie pentestów, aby zapewnić zgodność z wymogami PCI DSS?

Testy penetracyjne należy wykonywać regularnie — to jeden z wymogów do spełnienia w celu uzyskania certyfikatu PCI DSS. Zgodnie z wymogiem 11.4 zewnętrzne i wewnętrzne testy penetracyjne należy przeprowadzać co 12 miesięcy lub po znacznych zmianach w systemie informatycznym.
Wymóg ten ustanawia również kontrole segmentacji wykraczające poza zakres większości standardowych testów penetracyjnych. Wymóg 11.4 jasno określa, że firmy muszą zdefiniować, udokumentować i wdrożyć metodologię testów penetracyjnych, która obejmuje:
● Przyjęte w branży podejścia do testów penetracyjnych;● Uwzględnienie wszystkich warstw środowiska danych posiadaczy kart (CDE) i systemów krytycznych;● Testowanie sieci wewnętrznej i zewnętrznej;● Testowanie w celu potwierdzenia działania wszelkich środków zarządzania segmentacją;● Testy penetracyjne na poziomie aplikacji w celu wykrycia luk — przynajmniej tych, które wymienia wymóg 6.2.4;● Testy penetracyjne na poziomie sieci obejmujące wszystkie komponenty, które obsługują funkcje sieci, a także systemy operacyjne;● Przeglądy i analizy zagrożeń i luk, które pojawiły się w ciągu ostatnich 12 miesięcy;● Udokumentowane podejścia do oceny i eliminacji ryzyka wywołanego przez podatności operacyjne ujawnione podczas testów penetracyjnych;● Przechowywanie wyników testów penetracyjnych i efektów działań naprawczych przez 12 miesięcy.
Usługodawcy powinni przeprowadzać pentest co sześć miesięcy oraz w przypadku dokonania znacznych zmian w systemie. Co jednak należy rozumieć przez „znaczną zmianę”?
Pojęcie „znacznej zmiany” wymaga głębszego zrozumienia, dlatego w wersji PCI DSS 4.0 zawarto kilka konkretnych przykładów. Rozumiejąc, że każda firma jest wyjątkowa, a każda certyfikacja wymaga indywidualnego podejścia przedstawicieli firmy i audytorów, stworzono wygodny harmonogram przeprowadzania pentestów, który jest zgodny z harmonogramem zmian w infrastrukturze IT. 
Poniżej podano pewne przykłady znacznych zmian, które wymagają kontroli za pomocą testów penetracyjnych:
● Dodanie jakiegokolwiek nowego sprzętu, oprogramowania lub sprzętu sieciowego;● Aktualizacja lub wymiana sprzętu i oprogramowania;● Zmiany mające wpływ na przesyłanie lub przechowywanie danych posiadaczy kart;● Zmiany mające wpływ na zakres CDE lub na elementy podlegające ocenie PCI DSS;● Zmiany w infrastrukturze wspierającej, takiej jak usługi katalogowe, monitorowanie i logowanie;● Wszelkie zmiany zewnętrznych dostawców lub usług obsługujących środowisko CDE.

Wymagania dotyczące skanowania podatności PCI

Skanowanie podatności jest uważane za ważny element wymogów PCI DSS. Wymóg 11.2 zawiera następujące informacje: Skanowanie podatności sieci wewnętrznych i zewnętrznych należy przeprowadzać co kwartał, zwłaszcza po wprowadzeniu jakichkolwiek znacznych zmian w sieci. Wykryte podatności należy usunąć i, jeśli to konieczne, powtarzać skanowanie aż do uzyskania pomyślnych wyników.
Jednym z ważnych wymogów standardu PCI DSS jest skanowanie pod kątem luk w zabezpieczeniach. Wymóg 11.2 kładzie nacisk na przeprowadzanie skanowania sieci wewnętrznej i zewnętrznej co trzy miesiące, zwłaszcza po wszelkich znacznych zmianach w sieci. Wykryte podatności należy wyeliminować, a w razie potrzeby skanowanie powtarza się aż do uzyskania pomyślnego wyniku.
Po udanym przejściu pierwszego skanowania na zgodność ze standardem PCI DSS firma musi w ciągu następnego roku powtórzyć skanowanie jeszcze cztery razy. Skanowanie zewnętrzne powinien co kwartał wykonywać wykwalifikowany specjalista, którego usługi oferują wyspecjalizowane firmy. Skany te należy obowiązkowo wykonywać po wprowadzeniu jakichkolwiek zmian w sieci. Skanowanie wewnętrzne może być wykonywane przez własny personel firmy.

Metodyka testu penetracyjnego

Wymóg 11.4.1 dotyczy podejść stosowanych przez fachowców podczas przeprowadzania testów penetracyjnych. Wymóg ten określa, że należy stosować akceptowane w branży metodologie imitujące ataki intruzów. Należy podkreślić, że automatyczne skanowanie nie jest uważane za wystarczające do spełnienia tego wymogu.

Kto powinien przeprowadzać pentest PCI?

Testy penetracyjne pod kątem zgodności ze standardem PCI DSS należy przeprowadzać w jednym z podanym wariantów:
1. Wykwalifikowany pracownik wewnętrzny posiadający odpowiednią wiedzę i umiejętności umożliwiające rzetelne i prawidłowe przeprowadzenie testu penetracyjnego;2. Wykwalifikowany zewnętrzny dostawca usług z zakresu bezpieczeństwa posiadający odpowiednie doświadczenie i certyfikaty.
Standard PCI DSS 4.0 oferuje nawet wskazówki dotyczące wyboru zewnętrznego dostawcy do przeprowadzania pentestów PCI — znajdują się one w rozdziale „Właściwe praktyki” w wymogu 11. PCI SSC zaleca poszukiwanie dostawcy posiadającego określone certyfikaty z zakresu testów penetracyjnych, które mogą pomóc w zweryfikowaniu poziomu umiejętności i kompetencji testera.

Zalecamy również wybór dostawców testów penetracyjnych posiadających wcześniejsze doświadczenie z zakresu zapewniania zgodności ze standardem PCI DSS. Oceniając kandydatów, warto zwrócić uwagę na ich doświadczenie, rodzaj i zakres zrealizowanych wcześniej projektów oraz inne czynniki. Ważne jest, aby upewnić się, że doświadczenie dostawcy spełnia potrzeby firmy w zakresie ciągłej i nieprzerwanej zgodności z wymogami standardu PCI DSS.

Na podstawie naszego wieloletniego doświadczenia zalecamy, by do przeprowadzenia pentestów angażować zewnętrznych dostawców. Pozwoli to na sprawne i profesjonalne wykonanie wszystkich niezbędnych zadań.

Jakie są wymagania co do testów wewnętrznych i zewnętrznych?

Wymogi DSS 11.4.2 i 11.4.3 przewidują wewnętrzne i zewnętrzne testy penetracyjne. Testy może wykonywać zarówno firma posiadająca certyfikat PCI, jak i niezależny usługodawca, jednak wymagane są wysokie kwalifikacje. Jednocześnie brane jest pod uwagę wcześniejsze doświadczenie i posiadanie certyfikatów branżowych.
Wymóg 11.4.1 określa, że należy przeprowadzać wewnętrzne testy centralnego środowiska przetwarzania danych (CDE), a wcześniej wiele organizacji ich nie wykonywało.
Wymagane jest wewnętrzne i zewnętrzne testowanie całego środowiska CDE. W ten sposób zakres testów penetracyjnych zwiększa się, obejmując testy penetracyjne sieci i aplikacji, przez co potrzebne będzie odpowiednie przygotowanie do skalowania w celu spełnienia wymogów standardu PCI DSS 4.0. Każde środowisko cyfrowe podłączone do CDE, w tym środowiska sieciowe, chmurowe i hybrydowe, a także aplikacje, takie jak interfejsy API i aplikacje internetowe, będą musiały przejść pentesty pod kątem zgodności ze standardem PCI DSS 4.0.

Jak często należy przeprowadzać testy penetracyjne pod kątem zgodności ze standardem PCI DSS?

Testy penetracyjne należy przeprowadzać co najmniej raz na 12 miesięcy, zgodnie z wymogiem 11.4, a także w przypadku znacznej modernizacji lub zmiany na poziomie infrastruktury lub aplikacji. Nie jest to po prostu obowiązkowy wymóg — uważa się, że to najlepsza praktyka dla wszystkich firm dbających o swoje cyberbezpieczeństwo. Włączenie testów penetracyjnych do cyklu życia oprogramowania (SDLC) może zapobiec wystąpieniu różnych problemów.
Standard PCI DSS wymaga również powtarzania testów penetracyjnych, aby upewnić się, że możliwe do wykorzystania luki zostały poprawnie wyeliminowane i nie stanowią już zagrożenia dla środowiska CDE.

Co należy wiedzieć o kontroli segmentacji?

Kontrola segmentacji to jeden z elementów testów penetracyjnych przeprowadzanych w celu uzyskania certyfikatu PCI DSS.
Wymóg DSS 11.4.5 kładzie nacisk na to, by testerzy potwierdzili, że segmentacja sieci została prawidłowo wdrożona. Celem tego wymogu jest potwierdzenie, że środki kontroli są w stanie skutecznie odizolować środowisko CDE od innych systemów znajdujących się poza nim. Aby spełnić ten wymóg, zwykle wykonywane są serie skanów z każdego segmentu sieci.
Punkt 11.4.6 określa, że kontrolę segmentacji należy przeprowadzać co sześć miesięcy, a nie co roku.

Przeprowadzanie pentestu przed audytem PCI DSS 4.0

Nasz wykwalifikowany i doświadczony zespół oferuje szeroką gamę usług z zakresu testów penetracyjnych dla firm dowolnej wielkości, które chcą przygotować się do potwierdzenia zgodności ze standardem PCI DSS 4.0.
Dodatkowo zalecamy również, by wziąć pod uwagę nasze kompleksowe podejście do certyfikacji PCI DSS, które obejmuje nie tylko pentest, ale także inne niezbędne usługi.