Este debate contiene 3 respuestas, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 2 años, 12 meses.

  • Autor
    Publicaciones
  • #44493
    Avatar
    Jose
    Participante

    Buenas tardes, quisiera que me aconsejen que es mejor: pagarle a una empresa especializada en este rubro o bien aplicarla uno directamente (aplicaciones como NIKTO, ACUNETIX). Existen otras aplicaciones gratuitas como estas que mencioné? Cuál es mejor? Gracias por la ayuda.

  • #44647
    David Acosta
    David Acosta
    Participante

    Buenas tardes José:
    Para la realización de escaneos de vulnerabilidades en PCI DSS hay dos escenarios:
    + Escaneos de vulnerabilidades internos (req 11.2.1): que los puede realizar una persona con conocimientos dentro de tu empresa o puedes contratar a un tercero que los realice (no necesariamente un proveedor ASV)
    + Escaneos de vulnerabilidades externos (req. 11.2.2): Obligatoriamente los tiene que realizar una empresa homologada como ASV (Approved Scanning Vendor).
    Revisa el artículo «Criterios para escoger un Proveedor Aprobado de Escaneo (ASV)» http://www.pcihispano.com/criterios-para-escoger-un-proveedor-aprobado-de-escaneo-asv/ en donde puedes encontrar una serie de pautas para escoger un proveedor ASV conforme con lo que indica el PCI SSC.
    El listado de empresas ASV lo encontrarás en esta URL: https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors
    Saludos
    David

  • #44648
    Avatar
    Jose
    Participante

    David, gracias por el comentario y los links. Siguiendo con este tema en PA-DSS en el documento de Policies and Procedures desde el punto 5.2. en adelante hay que realizar pruebas de escaneo y documentar los resultados? Es así? son escaneos internos y los puede realizar la empresa o bien contratar un ASV? Gracias por la ayuda.

  • #44649
    David Acosta
    David Acosta
    Participante

    Buenas tardes José:
    Si te fijas en el requerimiento y en el «testing procedures» podrás ver varias cosas:
    – El requerimiento está alineado con PCI DSS 6.5
    – Te está pidiendo una prueba de penetración (penetration testing) manual o automatizada para validar que la aplicación no es vulnerable a ninguna de las 10 vulnerabilidades descritas
    Siendo así, lo puede hacer una persona en tu empresa que tenga formación en seguridad o puedes contratar a un tercero.
    Es importante que tengas presente que te pide una prueba de penetración, que a efectos prácticos va más allá de un escaneo de vulnerabilidades que es lo que te ofrecen las herramientas que describías en tu primera pregunta. En este punto, puedes escoger una herramienta como OWASP Zed Attack Proxy Project, w3af o alguna de las listadas aquí https://www.owasp.org/index.php/Appendix_A:_Testing_Tools. No obstante, no es suficiente con encontrar la vulnerabilidad, la herramienta debe poder explotarla y reportar el error, esa es la diferencia entre una prueba de penetración y un escaneo de vulnerabilidades.
    Saludos,
    David

Debes estar registrado para responder a este debate.