Ce ar trebui să știți despre testarea de penetrare PCI DSS

Dacă afacerea dvs. acceptă plăți cu cardul de credit, ar trebui să vă asigurați că respectați standardul de securitate a datelor din industria cardurilor de plată (PCI DSS) pentru a proteja datele deținătorilor de card. PCI DSS are multe fațete, testarea de penetrare fiind cea mai dificilă pentru companii.

Pentru a vă asigura că afacerea dvs. respectă PCI DSS, trebuie efectuate ocazional teste de penetrare pentru a verifica dacă sistemele și procesele dumneavoastră sunt configurate corespunzător pentru a menține în siguranță datele deținătorilor de card.

Testare de penetrare PCI DSS

Există trei tipuri principale de testare de penetrare: cutie neagră, cutie albă și cutie gri.

• Evaluarea penetrării cutiei negre nu oferă nicio informație înainte de începerea testelor
• Evaluarea casetei albe oferă detalii despre aplicație și rețea în timpul testului
• Evaluarea casetei gri oferă informații parțiale despre sistemele țintă

Evaluările casetelor albe și gri oferă cea mai bună perspectivă asupra stării de securitate a mediului de date deținătorului cardului (CDE). Testele sunt mai puțin costisitoare, necesită mai puține resurse și sunt mai simplificate.

Diferența dintre testarea de penetrare și scanarea vulnerabilităților

Testarea de penetrare nu este același lucru cu scanarea vulnerabilităților.

Scopul unei scanări a vulnerabilităților este să identifice, să evalueze și să raporteze punctele slabe care vă pot compromite sistemele. În general, companiile ar trebui să efectueze evaluări ale vulnerabilității în fiecare trimestru sau după efectuarea unor modificări semnificative în mediul de date deținătorului de card. Scanările de vulnerabilități sunt adesea efectuate folosind instrumente automate și ulterior sunt urmate de procese manuale de verificare.

Pe de altă parte, scopul unui test de penetrare este de a exploata un sistem căutând defecte de securitate. Testarea de penetrare este un proces deliberat de încercare de a sparge securitatea CDE sau a sistemului de rețea. Procesul durează mai mult, este mai manual și oferă o imagine de ansamblu cuprinzătoare a stării de securitate a sistemului de rețea. Testarea de penetrare ar trebui să fie efectuată anual și nu trimestrial.

Domeniul de aplicare al Mediului de date al titularului de card (CDE)

PCI DSS definește mediul de date al deținătorului de card ca fiind tehnologia, oamenii și procesele implicate în transmiterea, procesarea și stocarea informațiilor sensibile ale cardului de credit. Testarea de penetrare ar trebui să acopere toate sistemele și procesele care gestionează datele deținătorilor de card.

Primul test de penetrare este evaluarea accesibilității rețelelor publice ale organizației dvs. Evaluarea ar trebui să se facă pe toate sistemele și procesele care au acces la datele restricționate ale titularilor de card. În continuare, ar trebui evaluate sistemele interne de organizare care au acces la informații sensibile ale cardurilor de credit.

Testarea de penetrare nu ar trebui să acopere doar sistemele, ci și procesele care accesează rețeaua companiei. Dacă o parte din datele deținătorului cardului dvs. sunt stocate în afara mediului CDE, sistemele ar trebui testate pentru a se asigura că nu au vulnerabilități care ar putea face sistemele interne predispuse la infiltrarea de către utilizatori neautorizați.

În cele din urmă, orice sisteme „în afara domeniului de aplicare” care sunt utilizate pentru stocarea, transmiterea sau procesarea datelor deținătorilor de card ar trebui, de asemenea, testate pentru a se asigura că sunt sigure.

Evaluarea sistemelor critice

Conform PCI DSS, sistemele critice se referă la infrastructura, hardware-ul și procesele care gestionează datele deținătorilor de carduri. Sistemele pot fi dispozitive destinate publicului, configurații de securitate și hardware general care pot stoca, transmite și procesa informații despre cardul de credit.

Testarea de penetrare poate fi efectuată pe diferite componente ale sistemului dvs. de gestionare a cardurilor de credit, inclusiv firewall-uri, servere de redirecționare a comerțului electronic, servicii de autentificare, sisteme de detectare/prevenire a intruziunilor, printre altele. Toate aceste active tehnologice, împreună cu cele accesate și gestionate de utilizatorii privilegiați, se încadrează în sisteme critice.

Diferența dintre testarea stratului de aplicație și stratul de rețea

Atacurile recente ale infrastructurii cardurilor de credit s-au concentrat pe exploatarea vulnerabilităților din straturile de aplicație.

Multe companii folosesc aplicații vechi, aplicații web, aplicații mobile, componente open source și software dezvoltat intern ca parte a infrastructurii lor de procesare a plăților. Testarea la nivel de aplicație implică încercarea de a pătrunde în aplicațiile utilizate de organizație profitând de vulnerabilitățile acestora.

Pe de altă parte, testarea la nivel de rețea implică măsurarea integrității dispozitivelor care fac parte din rețeaua unei organizații. De exemplu, testarea poate implica încercarea de a pătrunde în switch-uri, routere, firewall-uri și servere prin exploatarea punctelor slabe ale acestora. Vulnerabilitățile tipice care ar putea fi într-un nivel de rețea includ dispozitive configurate greșit, parole implicite și sisteme necorecte.

Teste la nivel de aplicație și la nivel de rețea solicitate de PCI DSS

Pentru a fi compatibile cu PCI DDS, organizațiile trebuie să testeze autentificarea, aplicațiile de conformitate cu PA-DSS, aplicațiile web și un mediu de testare separat.

1. i) Autentificare. Aici, companiile trebuie să revizuiască rolurile și accesul la mediul de angajați. În plus, ar trebui să se asigure că clienții accesează doar datele lor. Atunci când se efectuează teste de penetrare, trebuie evaluate atât controalele clienților deținătorului de card, cât și controalele utilizatorului angajatorului.
2. ii) aplicații de conformitate cu PA-DDS. Aceste aplicații nu trebuie testate, dar implementarea lor ar trebui. Testarea ar trebui să se concentreze pe serviciile și sistemele de operare expuse, mai degrabă decât pe funcționalitatea sistemului de plată.

iii) Aplicații web. Pentru companiile care folosesc aplicații terțe sau comerciale, este esențial să se asigure că programele sunt implementate, securizate și configurate corespunzător.

Cele de mai sus este o prezentare generală a testării de penetrare PCI DSS.

Ken Lynch este un veteran al startup-ului de software pentru întreprinderi, care a fost întotdeauna fascinat de ceea ce îi determină pe lucrători să lucreze și cum să facă munca mai atractivă. Ken a fondat Reciprocity pentru a urmări tocmai asta. El a propulsat succesul Reciprocity cu acest obiectiv bazat pe misiuni de a implica angajații cu obiectivele de guvernanță, risc și conformitate ale companiei lor, pentru a crea cetățeni corporativi cu o minte mai socială. Ken și-a obținut licența în Informatică și Inginerie Electrică de la MIT.