菜单

打电话给我们 03450 21 21 51

PCI-DSS渗透测试要求
SRM.博客

PCI-DSS渗透测试要求

SRM.

写道 SRM.

2015年7月13日

分享这篇文章

SRM.

由Paul Brenneker.

那些参与PCI数据安全标准(PCI-DSS)的人将知道,由于首次发出PCI标准,因此已有强制性的渗透测试。然而,由于PCI-DSS V3.0 SRM的引入已经获得了许多行业各界的查询,关于新的渗透测试要求对商家和/或服务提供商的实际意味着什么。

本文旨在提供清晰度,随后让您知道SRM可以在满足新要求以及您可能拥有的任何其他PCI-DSS评估或信息安全相关需求方面帮助您。

当然,至少每年至少每年需要渗透测试(用于PCI合规性)。这应该在网络和应用水平中进行。值得注意的是,当介绍对网络基础设施或应用层的显着变化时,还应开始进一步的穿透测试。 PCI渗透测试指导文档描述了可能“影响网络安全性或允许访问持卡人数据”的重要变化。

那么最近发生了什么改变,你需要做什么是PCI兼容的业务?

在PCI-DSS V3.1之前,如果您的业务落入相关类别,则需要执行网络渗透测试。但是,目前已更新要求11.3授权您,符合PCI-DSS(或旨在遵守)业务,现在必须记录并实施所选择的渗透测试提供商的方法。这些变化于2015年6月30日成为强制性。

新的更改要求您的实施方法符合以下内容:

•它必须基于行业所接受的渗透测试方法;
•包括整个持卡人数据环境(CDE)周边和关键系统的覆盖范围;
•包括测试以验证任何分段和缩减控制控制作为合规审计的一部分;
•定义应用程序层渗透测试,至少包括要求6.5中列出的漏洞;
•定义网络层渗透测试,以包括支持您的网络功能以及操作系统的组件;
•包括审查和审议过去12个月内经验丰富的威胁和漏洞;和
•指定保留渗透测试结果和修复活动结果。

通过将上述内容纳入记录方法,您确保您的渗透测试提供商完全了解他们必须采取的方法,以便在维护或获取符合符合状态的全部重要PCI-DSS的过程中。这确保了您的网络和持卡人数据流,其促进它适当地评估了不断变化的威胁景观。

最常见的缺陷是定义的范围,或者测试缺少关键元素。也很重要的是要确保使用用于分隔网络的任何设备或应用程序提供对数据的访问,以便正确检查分割,并且可以使用后门管理员或系统级别以任何方式绕过访问控制系统访问命令。

如果正确执行渗透测试,它将提供有信心,即精确定义PCI环境并显示边界是有效的。这将保证持卡人数据环境周边的安全弱点,并正确识别和管理,并防止来自CDE外部的弱点影响安全区。

SRM.能够进行渗透测试,以方便您的PCI合规性目标。除此之外除此之外,可以为您的记录创建一个文档的方法,这些方法随后满足更新的PCI要求,以记录您的渗透测试公司必须采取的方法。

SRM.团队还包括许多经验丰富的PCI-QSAS,他们能够在与您作为渗透测试过程的一部分提供的信息相关的适当性的创建方法。