PCI DSS 3.0: 11.3 - ¿Qué sucede si una vulnerabilidad de bajo riesgo impide el cumplimiento de otro requisito?

Navega tus respuestas
3

Según entiendo los requisitos de las pruebas de penetración de PCI DSS 3.0 / 3.1, una compañía cumple con 11.3 si la prueba de penetración no devuelve ninguna vulnerabilidad de alto riesgo.

Sin embargo, ¿qué sucede si una vulnerabilidad de bajo riesgo identificada durante las pruebas de penetración afecta un requisito fuera de 11.3? ¿Se considera que la empresa no cumple?

Por ejemplo, descubrir una dirección IP interna es un riesgo bajo desde una perspectiva externa, sin embargo, esto afectaría el cumplimiento con 1.3.8, que establece que las direcciones privadas no deben ser divulgadas.

    
pregunta Cellobin22 09.07.2015 - 21:57
fuente

1 respuesta

2

Sí, usted es responsable de abordar cualquier brecha de la que tenga conocimiento. No importa cómo se dio cuenta de que tuvo una infracción 1.3.8; Eres responsable de remediarlo. El hecho de que no cumpla con el umbral para la remediación en 11.3 no es relevante.

    
respondido por el gowenfawr 10.07.2015 - 17:18
fuente

Lea otras preguntas en las etiquetas

¿Existe un Servicio para configurar una URL de Honey Pot para recopilar la IP del usuario y otros datos? [cerrado] ¿Es este un método anti-CSRF apropiado?