PCI DSS認證的滲透測試

為什麼PCI DSS要求進行滲透測試？

滲透測試（以下簡稱滲透測試）用於驗證您的系統中是否存在真實世界的攻擊路徑。 CDE週長以及關鍵系統。分段驗證證實，範圍縮小控制措施確實隔離了 CDE，這對於 PCI 合規性至關重要，因為許多環境涵蓋本地部署、ISP 託管和雲端服務。

PCI DSS對滲透測試的要求：頻率、獨立性和證據保留

1. 已記錄的方法採用業界認可的方法（例如，OWASP/OSSTMM/NIST），涵蓋以下內容：整個CDE周界和關鍵系統。
2. 至少每年進行一次內部和外部滲透測試和經過重大變革這可能會影響CDE。
3. 測試者獨立性（與建置/運作系統的人員在組織上分離）。
4. 細分測試（如果您使用分段來縮小範圍）每年以及變更後對這些控制項。
5. 證據保留為了≥12個月包括方法、範圍、調查結果、補救措施和複測結果。

PCI-DSS中的滲透測試與漏洞掃描

在製定預算和時間表之前，先讓利害關係人了解其中的差異：

添加手動漏洞利用和重新測試將其新增至變更日曆中，以便在認證審核之前驗證修復措施。

具體來說，DQS HK 提供的滲透測試服務不包含 PCI DSS 要求的 ASV 進行的外部漏洞掃描。

範圍、細分驗證和顯著變化複測

1. 範圍包括整個CDE周界（外部和內部）和可能影響CDE安全性的系統。
2. 分割驗證嘗試從範圍外的網路穿越到 CDE，測試防火牆規則、路由、ACL、身分邊界和橫向移動。
3. 顯著變化包括可能改變冠心病/季節性情感障礙風險的新組件、重大升級、拓撲結構變更或應用變更——視為重要事件並重新測試。

DQS HK 如何進行符合 PCI DSS 標準的測試？

1. 探索與範圍界定研討會— 確認資料流、信任邊界和細分聲明。
2. 方法論映射— 已記錄的計劃與PCI DSS 11.4.x涵蓋已認證/未認證路徑， API 和管理控制台以及管理飛機。
3. 執行— 威脅驅動的，手動測試採用選擇性工具；協調窗口以避免干擾；未經明確授權，不得進行破壞性拒絕服務攻擊。
4. 細分挑戰— 透過嘗試從範圍外的網路進行跨段移動來驗證隔離性。
5. 企業和評估人員的報告— 執行摘要、技術證據、風險排序及其業務背景以及PCI映射。
6. 複檢及證據包— 驗證修復方案並交付可供審計的、保留的工件≥12個月。
7. 可選強化衝刺—工程師之間的交流會，以解決根本原因（安全配置、WAF 規則、身份驗證流程、變更控制）。與…結對ISO 27001認證（資訊安全管理系統）為了維持成果。

您將收到符合審計要求的交付成果

1. 交戰規則以及範圍內的資產清單（IP/FQDN、應用程式/API、角色）。
2. 方法論已映射到 PCI DSS 11.4.x以及產業框架。
3. 剝削證據以及影響分析（不僅僅是掃描器截圖）。
4. 分割測試結果證明 CDE 的分離。
5. 補救計劃有所有者、服務等級協定 (SLA) 和快速見效的成果。
6. 複測確認以及證據包適用於品質安全評估和內部管理。

我們幫您避免常見陷阱

1. 僅測試 Web 前端忽略 API、管理控制台和管理網絡。
2. 假設CDN/WAF等同於無需驗證的安全。起源暴露和旁路。
3. 將分割視為圖表而不是在攻擊中證明了這一點。
4. 跳過顯著變化複測導致各個版本都存在未解決的問題。
5. 獨立性差距（團隊測試他們自己的建置或基礎設施）。

常見問題：PCI-DSS滲透測試

1. PCI DSS滲透測試多久需要進行一次？
   至少每年一次內部和外部測試和經過重大變革這可能會影響CDE。
2. 什麼才算重大變化？
   例如，新組件、重大升級、拓撲結構或應用程式變更都可能改變冠心病/肩周炎的風險。 。
3. 漏洞掃描足以滿足 PCI DSS 標準嗎？
   不。掃描結果只能辨識已知問題；滲透測試手動驗證漏洞利用性和細分效果。

DQS HK 的關聯服務

• 滲透測試
• 安全風險評估與審計（SRAA）
• ISO 27001認證
• 隱私影響評估 (PIA)
• 安全事件回應 (IR)
• 安全意識培訓