El PCI SCC establece lo siguiente en su guía de pruebas de penetración :
Por PCI DSS Requirements 11.3.1 y 11.3.2, las pruebas de penetración deben realizarse al menos una vez al año y después de cualquier cambio significativo, por ejemplo, actualización o modificación de la infraestructura o de la aplicación, o nueva Instalaciones de componentes del sistema. Lo que se considera "significativo" es altamente dependiente del proceso de evaluación de riesgos de una entidad y en la configuración de un entorno determinado. Debido a esta variabilidad, una significativa el cambio no es prescrito por PCI DSS. Si el cambio pudiera impactar el seguridad de la red o permitir el acceso a los datos del titular de la tarjeta, puede ser considerado significativo por la entidad. Pruebas de penetración de Se realizan cambios significativos para garantizar que los controles se supone que son en su lugar siguen funcionando efectivamente después de la actualización o modificación
Por lo tanto, depende de cada organización definir qué constituye un cambio significativo en su documentación. Sin embargo, como la prueba de penetración debe incluir evaluaciones de seguridad en cualquier aplicación dentro del alcance presente, una organización puede haber especificado que las nuevas características en estas aplicaciones constituyen un cambio significativo.
Si ese es el caso, ¿está permitido bajo PCI DSS solo "probar a lápiz" las aplicaciones modificadas, o PCI ordena que también se vuelva a probar toda la infraestructura, incluso aunque estos servidores individuales no hayan cambiado? Sí, en cualquier ecosistema está la ley de consecuencias no deseadas , sin embargo, si se puede razonablemente implicar que los cambios no afectarán ¿Algo más tiene que repetirse la prueba?
Por supuesto, si está permitido, esto debe documentarse como tal, que esta es la línea que está tomando la organización. Además, dado que hay una prueba de penetración anual de todo lo que está dentro del alcance, esto cubriría cualquier nueva vulnerabilidad que pueda afectar al resto de la red.