O que você deve saber sobre o teste de penetração PCI DSS
Publicados: 2018-06-25Se sua empresa aceita pagamentos com cartão de crédito, você deve garantir a conformidade com o PCI DSS (Payment Card Industry Data Security Standard) para proteger os dados do titular do cartão. O PCI DSS tem muitas facetas, sendo o teste de penetração o mais desafiador para as empresas.
Para garantir que sua empresa esteja em conformidade com o PCI DSS, testes de penetração devem ser realizados ocasionalmente para verificar se seus sistemas e processos estão configurados adequadamente para manter os dados do titular do cartão seguros.
Teste de penetração do PCI DSS
Existem três tipos principais de testes de penetração: caixa preta, caixa branca e caixa cinza.
- A avaliação de penetração de caixa preta não fornece nenhuma informação antes do início dos testes
- A avaliação da caixa branca fornece detalhes do aplicativo e da rede durante o teste
- A avaliação da caixa cinza fornece informações parciais sobre os sistemas de destino
As avaliações de caixa branca e caixa cinza oferecem a melhor visão sobre o status de segurança do seu ambiente de dados do titular do cartão (CDE). Os testes são mais baratos, exigem menos recursos e são mais simplificados.
Diferença entre teste de penetração e verificação de vulnerabilidade
Teste de penetração não é o mesmo que verificação de vulnerabilidade.
O objetivo de uma verificação de vulnerabilidade é identificar, avaliar e relatar pontos fracos que podem comprometer seus sistemas. Geralmente, as empresas devem realizar avaliações de vulnerabilidade a cada trimestre ou após fazer alterações significativas no ambiente de dados do titular do cartão. As verificações de vulnerabilidade geralmente são realizadas usando ferramentas automatizadas e posteriormente seguidas por processos de verificação manual.
Por outro lado, o objetivo de um teste de penetração é explorar um sistema procurando por falhas de segurança. O teste de penetração é um processo deliberado de tentar quebrar a segurança do CDE ou do sistema de rede. O processo leva mais tempo, é mais manual e fornece uma visão abrangente do status de segurança do sistema de rede. O teste de penetração deve ser realizado anualmente e não trimestralmente.
O escopo do Ambiente de Dados do Portador de Cartão (CDE)
O PCI DSS define o ambiente de dados do titular do cartão como a tecnologia, as pessoas e os processos envolvidos na transmissão, processamento e armazenamento de informações confidenciais de cartão de crédito. O teste de penetração deve abranger todos os sistemas e processos que lidam com os dados do titular do cartão.
O primeiro teste de penetração é avaliar a acessibilidade das redes públicas da sua organização. A avaliação deve ser feita em todos os sistemas e processos que tenham acesso aos dados restritos do titular do cartão. Em seguida, os sistemas internos da organização que têm acesso a informações confidenciais de cartão de crédito devem ser avaliados.
Os testes de penetração não devem abranger apenas os sistemas, mas também os processos que acessam a rede da empresa. Se parte dos dados do titular do cartão for armazenada fora do ambiente CDE, os sistemas devem ser testados para garantir que não tenham vulnerabilidades que possam tornar os sistemas internos propensos à infiltração de usuários não autorizados.
Por fim, quaisquer sistemas “fora do escopo” usados para armazenar, transmitir ou processar dados do titular do cartão também devem ser testados para garantir que sejam seguros.
Avaliando Sistemas Críticos
De acordo com o PCI DSS, os sistemas críticos referem-se à infraestrutura, hardware e processos que lidam com os dados do titular do cartão. Os sistemas podem ser dispositivos voltados para o público, configurações de segurança e hardware geral que podem armazenar, transmitir e processar informações de cartão de crédito.
O teste de invasão pode ser realizado em vários componentes do seu sistema de gerenciamento de cartão de crédito, incluindo firewalls, servidores de redirecionamento de e-commerce, serviços de autenticação, sistemas de detecção/prevenção de intrusão, entre outros. Todos esses ativos de tecnologia, juntamente com aqueles acessados e gerenciados por usuários privilegiados, se enquadram em sistemas críticos.
Diferença entre teste de camada de aplicativo e de camada de rede
Ataques recentes à infraestrutura de cartão de crédito se concentraram na exploração de vulnerabilidades nas camadas do aplicativo.
Muitas empresas usam aplicativos legados, aplicativos da Web, aplicativos móveis, componentes de código aberto e software desenvolvido internamente como parte de sua infraestrutura de processamento de pagamentos. O teste de camada de aplicativo envolve tentar penetrar nos aplicativos usados pela organização, aproveitando suas vulnerabilidades.
Por outro lado, o teste da camada de rede envolve a medição da integridade dos dispositivos que fazem parte da rede de uma organização. Por exemplo, o teste pode envolver a tentativa de invadir switches, roteadores, firewalls e servidores explorando seus pontos fracos. Vulnerabilidades típicas que podem estar em uma camada de rede incluem dispositivos mal configurados, senhas padrão e sistemas sem patches.
Testes de camada de aplicativo e de rede exigidos pelo PCI DSS
Para ser compatível com PCI DDS, as organizações precisam testar a autenticação, aplicativos de conformidade com PA-DSS, aplicativos da Web e um ambiente de teste separado.
- e) Autenticação. Aqui, as empresas precisam revisar as funções e o acesso ao ambiente de seus funcionários. Além disso, eles devem garantir que os clientes acessem apenas seus dados. Ao realizar testes de penetração, os controles do cliente do titular do cartão e os controles do usuário do empregador devem ser avaliados.
- ii) aplicativos de conformidade com PA-DDS. Esses aplicativos não precisam ser testados, mas sua implementação deve. O teste deve se concentrar nos serviços e sistemas operacionais expostos, e não na funcionalidade do sistema de pagamento.
iii) aplicações Web. Para empresas que usam aplicativos comerciais ou de terceiros, é fundamental garantir que os programas sejam implementados, protegidos e configurados adequadamente.
A descrição acima é uma visão geral do teste de penetração do PCI DSS.
Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado pelo que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT.