Apa yang harus Anda ketahui tentang pengujian penetrasi PCI DSS

Jika bisnis Anda menerima pembayaran kartu kredit, Anda harus memastikan kepatuhan terhadap Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) untuk melindungi data pemegang kartu. PCI DSS memiliki banyak aspek, dengan pengujian penetrasi menjadi yang paling menantang bagi perusahaan.

Untuk memastikan bisnis Anda sesuai dengan PCI DSS, pengujian penetrasi harus dilakukan sesekali untuk memastikan apakah sistem dan proses Anda dikonfigurasi dengan tepat untuk menjaga keamanan data pemegang kartu.

Pengujian Penetrasi PCI DSS

Ada tiga jenis utama pengujian penetrasi: kotak hitam, kotak putih, dan kotak abu-abu.

• Penilaian penetrasi kotak hitam tidak memberikan informasi apa pun sebelum tes dimulai
• Penilaian kotak putih memberikan detail aplikasi dan jaringan selama pengujian
• Penilaian kotak abu-abu memberikan informasi parsial tentang sistem target

Penilaian kotak putih dan kotak abu-abu menawarkan wawasan terbaik tentang status keamanan lingkungan data pemegang kartu (CDE). Tes lebih murah, membutuhkan lebih sedikit sumber daya, dan lebih efisien.

Perbedaan Antara Pengujian Penetrasi dan Pemindaian Kerentanan

Pengujian penetrasi tidak sama dengan pemindaian kerentanan.

Tujuan pemindaian kerentanan adalah untuk mengidentifikasi, menilai, dan melaporkan kelemahan yang dapat membahayakan sistem Anda. Umumnya, perusahaan harus melakukan penilaian kerentanan setiap kuartal atau setelah membuat perubahan signifikan pada lingkungan data pemegang kartu. Pemindaian kerentanan sering dilakukan menggunakan alat otomatis dan kemudian ditindaklanjuti dengan proses verifikasi manual.

Di sisi lain, tujuan dari tes penetrasi adalah untuk mengeksploitasi sistem dengan mencari kelemahan keamanan. Pengujian penetrasi adalah proses yang disengaja untuk mencoba memecahkan keamanan CDE atau sistem jaringan. Prosesnya memakan waktu lebih lama, lebih manual, dan memberikan gambaran menyeluruh tentang status keamanan sistem jaringan. Pengujian penetrasi harus dilakukan setiap tahun daripada triwulanan.

Cakupan Lingkungan Data Pemegang Kartu (CDE)

PCI DSS mendefinisikan lingkungan data pemegang kartu sebagai teknologi, orang, dan proses yang terlibat dalam transmisi, pemrosesan, dan penyimpanan informasi kartu kredit yang sensitif. Pengujian penetrasi harus mencakup semua sistem dan proses yang menangani data pemegang kartu.

Tes penetrasi pertama adalah mengevaluasi aksesibilitas jaringan publik organisasi Anda. Evaluasi harus dilakukan pada semua sistem dan proses yang memiliki akses ke data pemegang kartu yang dibatasi. Selanjutnya, sistem organisasi internal yang memiliki akses ke informasi kartu kredit yang sensitif harus dinilai.

Pengujian penetrasi seharusnya tidak hanya mencakup sistem tetapi juga proses yang mengakses jaringan perusahaan. Jika sebagian data pemegang kartu Anda disimpan di luar lingkungan CDE, sistem harus diuji untuk memastikan mereka tidak memiliki kerentanan yang dapat membuat sistem internal rentan terhadap penyusupan oleh pengguna yang tidak berwenang.

Terakhir, setiap sistem “di luar cakupan” yang digunakan untuk menyimpan, mengirimkan, atau memproses data pemegang kartu juga harus diuji untuk memastikan keamanannya.

Mengevaluasi Sistem Kritis

Menurut PCI DSS, sistem kritis mengacu pada infrastruktur, perangkat keras, dan proses yang menangani data pemegang kartu. Sistem tersebut dapat berupa perangkat yang menghadap publik, konfigurasi keamanan, dan perangkat keras umum yang dapat menyimpan, mengirimkan, dan memproses informasi kartu kredit.

Pengujian penetrasi dapat dilakukan pada berbagai komponen sistem penanganan kartu kredit Anda, termasuk firewall, server pengalihan e-niaga, layanan otentikasi, sistem deteksi/pencegahan intrusi, dan lain-lain. Semua aset teknologi ini, bersama dengan yang diakses dan dikelola oleh pengguna yang memiliki hak istimewa, termasuk dalam sistem kritis.

Perbedaan Antara Pengujian Lapisan Aplikasi dan Lapisan Jaringan

Serangan infrastruktur kartu kredit baru-baru ini difokuskan pada eksploitasi kerentanan di lapisan aplikasi.

Banyak bisnis menggunakan aplikasi warisan, aplikasi web, aplikasi seluler, komponen sumber terbuka, dan perangkat lunak yang dikembangkan sendiri sebagai bagian dari infrastruktur pemrosesan pembayaran mereka. Pengujian lapisan aplikasi melibatkan upaya untuk menembus aplikasi yang digunakan oleh organisasi dengan memanfaatkan kerentanannya.

Di sisi lain, pengujian lapisan jaringan melibatkan pengukuran integritas perangkat yang merupakan bagian dari jaringan organisasi. Misalnya, pengujian mungkin melibatkan mencoba membobol sakelar, router, firewall, dan server dengan memanfaatkan kelemahannya. Kerentanan umum yang mungkin ada di lapisan jaringan termasuk perangkat yang salah konfigurasi, kata sandi default, dan sistem yang belum ditambal.

Pengujian Lapisan Aplikasi dan Lapisan Jaringan Diperlukan oleh PCI DSS

Agar sesuai dengan PCI DDS, organisasi perlu menguji otentikasi, aplikasi kepatuhan PA-DSS, aplikasi web, dan lingkungan pengujian terpisah.

1. i) Otentikasi. Di sini, bisnis harus meninjau peran dan akses ke lingkungan karyawan mereka. Selain itu, mereka harus memastikan pelanggan hanya mengakses data mereka. Saat melakukan pengujian penetrasi, kontrol pelanggan pemegang kartu dan kontrol pengguna pemberi kerja harus dievaluasi.
2. ii) Aplikasi kepatuhan PA-DDS. Aplikasi ini tidak harus diuji tetapi implementasinya harus. Pengujian harus fokus pada layanan dan sistem operasi yang terbuka daripada fungsionalitas sistem pembayaran.

iii) Aplikasi web. Untuk perusahaan yang menggunakan aplikasi pihak ketiga atau komersial, sangat penting untuk memastikan bahwa program diterapkan, diamankan, dan dikonfigurasi dengan benar.

Di atas adalah ikhtisar pengujian penetrasi PCI DSS.

Ken Lynch adalah veteran startup perangkat lunak perusahaan, yang selalu terpesona dengan apa yang mendorong pekerja untuk bekerja dan bagaimana membuat pekerjaan lebih menarik. Ken mendirikan Timbal Balik untuk mengejar hal itu. Dia telah mendorong kesuksesan Reciprocity dengan tujuan berbasis misi ini untuk melibatkan karyawan dengan tujuan tata kelola, risiko, dan kepatuhan perusahaan mereka untuk menciptakan warga korporat yang lebih berpikiran sosial. Ken memperoleh gelar BS di bidang Ilmu Komputer dan Teknik Elektro dari MIT.