Requisito de prueba de penetración de PCI DSS 11.3.4

Question

Requisito de prueba de penetración de PCI DSS 11.3.4

#1 de gowenfawr (1 votos)

1

Soy bastante nuevo en PCI DSS y estoy confundido sobre el requisito de realizar la prueba de la pluma según 11.3.4. como dice: -

¿Se definen los procedimientos de prueba de penetración para probar toda la segmentación? métodos, para confirmar que son operacionales y efectivos, y aislar ¿Todos los sistemas fuera de alcance de los sistemas en el CDE?

Somos una pequeña empresa con una única máquina de tarjetas que acepta pagos por teléfono.

Por lo tanto, el CDE es esencialmente la compañía completa, ya que la máquina de tarjetas se conecta a Internet a través del enrutador de banda ancha. Tenemos una DMZ con una sola máquina que se ejecuta en ella para el acceso al correo electrónico, pero no tiene puertos abiertos entre la DMZ y la red interna. Además, cuando realizamos un escaneo de red, incluyo las IP externas de la máquina en la DMZ además de las IP de la LAN.

¿Todavía necesito hacer una prueba de la pluma en nuestra LAN desde la DMZ como me parece, ya está todo dentro del alcance de PCI DSS?

penetration-test pci-dss pci-scope

pregunta li_greeny 06.03.2018 - 10:43

fuente

1 respuesta

Lea otras preguntas en las etiquetas penetration-test pci-dss pci-scope

Verificación del instalador de Python (x, y) Proteger una clave privada en Azure

score 1 · Answer 1

§11.3.4 está dirigido específicamente a organizaciones que utilizan la segmentación para limitar su alcance de PCI. Cuando dices:

Así que el CDE es esencialmente la compañía completa como la máquina de tarjetas se conecta a internet a través del enrutador de banda ancha.

Parece que no estás en esta categoría. Si la máquina de tarjetas está en la misma red plana que todas las otras máquinas internas de la empresa, entonces sí, todas están dentro del alcance. Si ese es el caso, entonces el § 11.3.4 no se aplica a usted: aquí está el texto completo con énfasis en las partes que distinguen de lo que está haciendo:

11.3.4 Si se usa la segmentación para aislar el CDE de otras redes, realice pruebas de penetración al menos una vez al año y después de cualquier cambio en La segmentación controla / los métodos para verificar que los métodos de segmentación son operativos y efectivos , y aíslan todos los sistemas fuera de alcance de sistemas en el CDE.

No está utilizando la segmentación para aislar, por lo que no necesita verificar que lo está haciendo de manera efectiva. No tiene sistemas fuera de alcance aislados del CDE.

Por lo tanto, aún debe realizar una prueba de lápiz de todo según §11.3.2, simplemente no necesita verificar su segmentación (inexistente).