Aplicabilidad de exploración de vulnerabilidades para PCI DSS

Navega tus respuestas
2

Estoy completamente al tanto de los requisitos de PCI DSS y he asistido al curso ISA recientemente. El curso fue útil y pude compartir ideas con el entrenador. Sin embargo, sigo volviendo a un aspecto de PCI para el que necesito decidir si, en esta etapa, si es aplicable o si alguien más ha tomado esta ruta: análisis de vulnerabilidad.

Tengo la impresión de que si puedo demostrar que los datos de la tarjeta en nuestro entorno están completamente encriptados desde el teclado PIN a nuestro manejador de transacciones y no hay forma de que alguien pueda piratear eso o recuperar las claves de descifrado o incluso poder influir en la transacción, entonces una exploración de vulnerabilidad no agregará ninguna seguridad. (Sin embargo, veo el punto de los análisis de vulnerabilidad desde un punto de vista de seguridad general). Es una cuestión de tiempo y costo en este momento.

La configuración (nivel de comerciante 2 - SAQ C):
Múltiples sitios, segmentados y no conectados entre sí a través de VPN / LAN / etc. Todos los sitios independientes. Utilizamos un controlador de transacciones PCI DSS Level 1 Card y usamos su software y sus almohadillas PIN compatibles con el estándar de la industria. Los datos se cifran dentro del dispositivo y luego se transmiten. No tenemos acceso a los datos u otra información que no sea los últimos cuatro dígitos después de que se haya procesado la transacción.

Actualmente tenemos pruebas de penetración externas trimestrales realizadas por un ASV.

Con el cifrado y el acceso, ¿alguien siente que puedo desviar el alcance de los análisis de vulnerabilidad?

    
pregunta Michael Lock 26.10.2012 - 11:35
fuente

3 respuestas

6

Absolutamente no.

Si su objetivo es solo obtener el cumplimiento de PCI-DSS, está evaluando la situación incorrectamente. El cumplimiento debe ser un subproducto de una buena seguridad, y las pruebas de penetración y los análisis de vulnerabilidad regulares son una parte invaluable de eso.

Como ejemplo, digamos que se publica 0 días para Windows XP SP3. Hay una buena posibilidad de que no te enteres de las noticias, y no serás consciente de los problemas potenciales. El escaneo de vulnerabilidad regular lo alertará sobre ese problema tan pronto como el escáner se actualice con una rutina de detección. Esto es fundamental para mantener la barrera de entrada en su red relativamente alta.

Si el costo es un factor importante, es hora de presentar su caso para un aumento de presupuesto. Debe sopesar los posibles daños y riesgos, y defender firmemente por qué necesita realizar estas exploraciones.

    
respondido por el Polynomial 26.10.2012 - 12:03
fuente
4

Absolutamente no.

Aunque estoy completamente de acuerdo con la respuesta de @ Polynomial, sobre priorizar la seguridad y tener el cumplimiento como un subproducto, debe darse cuenta de algo muy importante.

  

El cumplimiento no se trata de seguridad.

En pocas palabras, necesita para realizar esas exploraciones, porque es lo que exige la regulación, si desea cumplimiento. El cifrado y el control de acceso son otros dos requisitos, pero están completamente separados del requisito de escaneo. (PCI no indica "Cifre todos los datos de la tarjeta, O realice una exploración de vulnerabilidades".)
Ambos son necesarios, ninguno puede ser descopado, y cualquiera de los dos puede impedir el cumplimiento

No olvide el modelo de riesgo real que necesita al tratar con el cumplimiento de PCI, resumido en la conocida Ley de Cumplimiento de AviD :

  

"El cumplimiento de PCI reduce el riesgo de sanciones por incumplimiento".

    
respondido por el AviD 27.10.2012 - 22:59
fuente
0

En primer lugar, permítame decir que @Polynomial es 100% correcto. Cuando se maneja / almacena con datos CC, no se pueden ignorar las PCI DDS.

Además, como lo señaló correctamente @AviD, esto no es "solo" un problema de seguridad, sino también un problema de regulación.

Habiendo dicho todo lo que quería ofrecerle una solución a su problema.

Si lo entiendo correctamente aquí, está tratando de lidiar con la sección 6.6 de la factura que requiere revisiones periódicas del código (después de cada actualización) o para integrarse con un WAF (Web Application Firewall) compatible con PCI DDS.

Explicación del PCI DDS 6.6

Vulnerability Scanning está orientado principalmente hacia la primera opción, ya que lo ayudará a identificar los puntos débiles en su código (y, con suerte, a parchearlos). Si bien hay algunas ventajas de esto, en su mayoría son a largo plazo y, como usted dijo correctamente, en el corto plazo, esta actividad será mucho más costosa y costará mucho más tiempo.

Yo sugeriría ir por el otro lado e instalar una red de sitios WAF compatible con PCI DDS.

Esto no tomará absolutamente nada de tiempo y le proporcionará el mismo (o incluso mejor) nivel de protección + resolverá instantáneamente los problemas relacionados con el PCI DDS. Esto también se puede usar como una solución temporal, que se reemplazará en el futuro (cuando tenga tiempo de lidiar con las vulnerabilidades del código).

Gracias a los avances en la tecnología de la nube, hoy puede "alquilar" un WAF compatible con PCI DDS por solo unas pocas docenas de dólares al mes. Actualmente, este servicio solo lo ofrece una empresa de seguridad (una empresa bien conocida para la que trabajo actualmente y no lo mencionaré aquí porque no quiero "conectar" nuestros servicios).

Diré que:

A. Puede obtener protección total en solo unos minutos (simple cambio de DNS)

B. Tendrá una opción para producir informes de PCI DDS

C. Como un "bono" adicional, el servicio también se combina con Gloal CDN y Caching acceleration y Spammer protection

Espero que esto ayude a resolver su problema.

GL

    
respondido por el Igal Zeifman 28.10.2012 - 09:17
fuente

Lea otras preguntas en las etiquetas

VCS para manipular los árboles devueltos para evitar fugas? [cerrado] ¿Qué significa la opción -Pn en nmap? [cerrado]