Testy penetracyjne w oparciu o zalecenia PCI DSS

Zalecenia PCI DSS mówią, że wszystkie podmioty, które przetwarzają dane powinny regularnie przeprowadzać testy bezpieczeństwa środowiska CDE. Wymagania dotyczące takiego testu są opisane w Suplemencie informacyjnym PCI DSS – Wytyczne dotyczące badania bezpieczeństwa.

 

Między innymi, wyszczególnione są następujące wytyczne:

  • testy penetracyjne powinny być przeprowadzane głównie manualnie/ręcznie
  • testy penetracyjne powinny być przeprowadzane zgodnie ze standardami (OSSTMM, NIST SP 800-115, OWASP Testing Guide)
  • zakres musi obejmować cały CDE i wszystkie krytyczne systemy, które mogą mieć wpływ na bezpieczeństwo CDE, a także środowisko w zakresie wytycznych PCI DSS
  • testy penetracyjne sieci powinny obejmować elementy obsługujące funkcje sieci oraz systemy operacyjne
  • testy penetracyjne aplikacji powinny obejmować przynajmniej podatności wymienione w wymaganiach PCI DSS pkt. 6.5
  • zakres testów powinien obejmować przegląd oraz omówienie błędów i podatności wykrytych w ciągu ostatnich 12 miesięcy.

 

Nasze usługi testowania bezpieczeństwa zgodnie z zaleceniami PCI DSS są w pełni zgodne z powyższymi wymaganiami. Usługa obejmuje cały zakres opisany w wytycznych:

  • testy bezpieczeństwa infrastruktury wewnętrznej
  • testy bezpieczeństwa infrastruktury dostępnej z sieci publicznej
  • weryfikacja segmentacji sieci
  • testy bezpieczeństwa aplikacji działających w sieci CDE
  • inżynieria społeczna (jeśli jest wymagana)

 

Posiadamy bogate doświadczenie w pracy z klientami, którzy przetwarzają dane kartowe (banki, akceptanci (merchant), operatorzy płatności) oraz współpracujemy z audytorami QSA.

 

Daj nam znać jakie są twoje potrzeby. Chętnie odpowiemy na wszystkie pytania.