18.02.2019
PCI DSS – to standard bezpieczeństwa kart płatniczych. Oczywiście, wymagania standardu obejmują regularne sprawdzanie pracy wszystkich systemów ochrony infrastruktury IT. Takie sprawdzenie jest przeprowadzane za pomocą testu penetracyjnego (pentestu). W tym artykule omówimy, jak przeprowadzać pentest zgodnie z wymaganiami standardu PCI DSS.
Pentest - to testowanie infrastruktury IT w celu penetracji. Podczas testowania sprawdzane są podatności, które mogą wynikać z nieprawidłowej konfiguracji systemów lub błędów w oprogramowaniu. Pentest jest przeprowadzany zarówno dla infrastruktury IT, jak i różnych aplikacji biznesowych.
Pentest pokazuje, jak sprawa się ma z bezpieczeństwem cybernetycznym firmy nie tylko dla specjalistów technicznych, ale także dla kierownictwa. To daje zrozumienie, jak podatny jest system i jakie mogą być potencjalne szkody.
Skuteczność działania systemu bezpieczeństwa cybernetycznego można zweryfikować tylko poprzez test penetracyjny. Nie ma alternatywnego sposobu!
Standard PCI DSS obejmuje szereg wymagań, które wskazują, jak często należy przeprowadzać skanowanie systemów IT, sprawdzanie podatności oraz test penetracyjny.
Na rynku usług związanych z bezpieczeństwem cybernetycznym szeroko dostępne są usługi przeprowadzania testów penetracyjnych. Testy dla zwykłej oceny infrastruktury IT i testy zgodne z mają pewne różnice. Ważne jest zrozumienie tych różnic.
Rozdział 11.3 standardu PCI DSS reguluje procedurę przeprowadzania testów penetracyjnych oraz wymagania dotyczące ich zawartości.
Standard bezpieczeństwa PCI DSS stawia następujące wymagania dotyczące testów penetracyjnych:1. Test penetracyjny powinien być przeprowadzany co najmniej raz w roku. Ponadto, pentest należy przeprowadzać po każdej zmianie w infrastrukturze IT lub zmianie w aplikacjach. Na przykład, gdy programista bazy danych zaktualizuje wersję bazy danych, konieczne jest przeprowadzenie testu penetracyjnego.2. Dla dostawców usług, którzy stosują segmentację sieci, istnieją wymagania dotyczące przeprowadzenia drugiego testu penetracyjnego co pół roku po przeprowadzeniu podstawowego testu penetracyjnego. Faktycznie takie firmy dostawcze muszą przeprowadzać test co pół roku.3. Test penetracyjny musi być przeprowadzany zgodnie z określoną metodologią opartą na powszechnie przyjętych podejściach: NIST, ISO, PTES, OWASP.4. Do obszaru testowania muszą być włączone wszystkie systemy IT należące do środowiska przetwarzania danych kart płatniczych. Testowanie obejmuje serwery, stanowiska robocze, sprzęt sieciowy.5. Test penetracyjny musi być przeprowadzany zarówno od wewnątrz sieci, jak i z zewnątrz. Ważne jest, aby pentest dotyczył zarówno podatności na poziomie sieci, jak i na poziomie aplikacji.6. Test penetracyjny musi obejmować analizę wszystkich ataków i podatności, z którymi firma miała do czynienia w ciągu ostatnich piętnastu miesięcy.7. Wszystkie zidentyfikowane podatności podczas testu penetracyjnego, które mogą być potencjalnie wykorzystane do ataku, muszą zostać usunięte, a to usunięcie należy potwierdzić ponownym testem.
Dodatkowo do głównych wymagań standardu, Rada PCI DSS opracowała bardziej szczegółowy przewodnik dotyczący przeprowadzania testu penetracyjnego.
Ten dokument wyjaśnia wszystkie wymagania dotyczące scenariusza przeprowadzania pentestu, wyboru wykonawcy testu, struktury i treści raportu. Ale najważniejszym elementem jest lista kontrolna, umieszczona na stronie 25, która pozwala zamawiającemu testu penetracyjnego sprawdzić wykonawcę i upewnić się, że raport zostanie zaakceptowany przez audytora PCI DSS bez zastrzeżeń.
Dla firm, które przeprowadzają pentesty samodzielnie, ta ankieta jest doskonałym narzędziem do samokontroli. Odpowiadając tylko na 22 pytania, można ocenić jakość przeprowadzonego testu penetracyjnego.
Oczywiście, pentest można przeprowadzać samodzielnie, ale najlepszym sposobem na przeprowadzenie testu penetracyjnego jest skorzystanie z usług firmy specjalizującej się w certyfikacji PCI DSS. W takim przypadku testowanie penetracyjne będzie uwzględniać wszystkie wymagania i postanowienia standardu.
"IT Specialist" przeprowadza testy penetracyjne w ramach kompleksowego pakietu usług związanych z certyfikacją PCI DSS. Nasi eksperci, którzy przeprowadzają takie testy, specjalizują się w tego rodzaju projektach od ponad dziesięciu lat. Kwalifikacje ekspertów są potwierdzone certyfikatami OSCP, CEH, WPTX.
Czy Twój biznes potrzebuje szybkiego i wysokiej jakości testu penetracyjnego dla infrastruktury IT? Czy zależy Ci na tym, aby Twój biznes spełniał standard PCI DSS? Nasz zespół dostarczy Ci najlepsze, szybkie i wysokiej jakości wyniki.Skontaktuj się z naszymi ekspertami i uzyskaj odpowiedzi na wszystkie swoje pytania.