Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44440
      andresmx89
      Participante

      Hola David

      Para las pruebas de intrusión o pentesting se deben incluir elementos de contingencia o dispositivos por donde no presente tráfico de entorno de tarjetahabientes, como por ejemplo: Router de contingencia o simplemente los routers administrador por el proveedor?, Firewall de Alta disponibilidad se considera como una sola IP? todas las ips externas deben de realizarse pruebas de intrusión o solo aquellas por donde hay tráfico de tarjetahabientes?

      Muchas Gracias,

    • #44545
      David Acosta
      Participante

      Hola Andrés:
      Esta es una pregunta muy interesante. En la versión 3.0 de PCI DSS el requerimiento 11.3 dice lo siguiente:
      «…
      – Includes coverage for the entire CDE perimeter and critical systems
      – Includes testing from both inside and outside the network
      – Includes testing to validate any segmentation and scope-reduction controls
      – Defines application-layer penetration tests to include, at a minimum, the vulnerabilities listed in Requirement 6.5
      – Defines network-layer penetration tests to include components that support network functions as well as operating systems
      …»
      De acuerdo con ello, el ámbito de cubrimiento de las pruebas de penetración debe cubrir todo el perímetro del CDE y sistemas críticos (identificados en el análisis de riesgos del req. 12.2). Las pruebas de penetración son externas (req. 11.3.1) e internas (req. 11.3.2) y deben cubrir la capa de red y la capa de aplicación.
      Comentar también que como bien sabes, el CDE (Cardholder Data Environment) está compuesto no solamente por los equipos por los que hay flujos de tarjeta sino también aquellos que soportan su operación, por lo que la definición de tu entorno de cumplimiento debería contemplar este criterio (ver «Scope of PCI DSS Requirements» pág. 10 del estándar PCI DSS v3.0). Esto quiere decir que las pruebas de penetración y los análisis de vulnerabilidades no se deben limitar únicamente a equipos por los que pasan datos de tarjeta.
      Así mismo, las pruebas son anuales y deben ser realizadas cuando exista un cambio significativo en la infraestructura, por lo que los activos afectados por dichos cambios (independientemente que gestionen datos de tarjeta o no) tendrían que ser revisados aplicando estas validaciones.
      Espero que esta información te sea útil.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.