PCI DSS 认证中的渗透测试

为什么 PCI DSS 要求渗透测试？

渗透测试（以下简称 Pen Test）用于验证在您的 CDE 边界 和关键系统上，是否存在真实可利用的攻击路径。分段验证确保范围缩减控制真正隔离了 CDE，这对于 PCI 合规至关重要，尤其是在本地机房、ISP 机房和云服务交织的环境下。

PCI DSS 对渗透测试的要求：频率、独立性与证据保留

1. 文件化的方法论：使用行业公认的方法（如 OWASP/OSSTMM/NIST），覆盖 整个 CDE 边界及关键系统。
2. 内部与外部渗透测试至少每年一次，并在发生可能影响 CDE 的重大变更后再次进行。
3. 测试人员独立性：与构建/运营系统的团队保持组织隔离。
4. 分段测试：如果通过分段缩小范围，则必须 每年一次 并在变更后进行。
5. 证据保留 ≥12 个月：包括方法、范围、发现、整改及 复测 结果。

PCI DSS 中渗透测试 vs 漏洞扫描

在预算与计划前，应先统一认识两者区别：

在您的变更日程中加入 手工利用与复测，确保整改在审计前被验证。

特别提醒：DQS HK 提供的渗透测试 不包含 PCI DSS 要求的 ASV 外部漏洞扫描。

范围、分段验证与重大变更复测

1. 范围：包括 整个 CDE 边界（外部与内部） 及 所有可能影响 CDE 安全的系统。
2. 分段验证：尝试从非范围网络进入 CDE，测试防火墙规则、路由、ACL、身份边界与横向移动。
3. 重大变更：新增组件、大型升级、拓扑或应用变化等，若可能改变 CHD/SAD 风险，必须视为重大变更并复测。

DQS HK 如何执行符合 PCI DSS 的渗透测试？

1. 发现与范围研讨：确认数据流、信任边界与分段声明。
2. 方法论映射：制定文件化计划，符合 PCI DSS 11.4.x，涵盖认证/非认证路径、API 与管理控制台、管理平面。
3. 执行：基于威胁、人工测试 + 工具，安排合适时段避免干扰；除非授权，不进行破坏性 DoS。
4. 分段挑战：尝试跨分段移动，验证隔离有效性。
5. 报告：提供管理层摘要、技术证据、带业务上下文的风险评级 及 PCI 映射。
6. 复测与证据包：验证整改，并交付可供 QSA 和内部治理使用的 ≥12 个月保存的证据。
7. 可选加固冲刺：工程师对接，解决根本问题（安全配置、WAF 规则、认证流程、变更管理）。可与 ISO 27001 认证 (ISMS) 配合，确保持续改进。

审核可交付成果

1. 测试范围与参与规则：包含 IP/FQDN、应用/API、角色清单。
2. 方法论映射：对应 PCI DSS 11.4.x 与行业框架。
3. 利用证据与影响分析：不止于扫描器截图。
4. 分段测试结果：证明 CDE 隔离有效。
5. 整改计划：含负责人、SLA、快速修复项。
6. 复测确认：以及供审计使用的 证据包。

常见误区（我们帮您避免）

1. 只测 Web 前端而 忽视 API、管理控制台与管理网络。
2. 误以为 CDN/WAF 等于安全，未验证源站暴露与绕过风险。
3. 将分段当作图纸，而非 通过攻击验证。
4. 跳过 重大变更复测，导致问题遗留。
5. 独立性不足：由自家团队测试自身系统。

FAQ: PCI DSS 渗透测试

• PCI DSS 渗透测试多久做一次？

至少每年一次 内部与外部测试，并在重大变更后进行。

• 什么算重大变更？

新增组件、大型升级、拓扑或应用变化等，会改变 CHD/SAD 风险的情况。

• 漏洞扫描足够吗？

不足。扫描只能识别已知问题；渗透测试 能手工验证可利用性与 分段有效性。

DQS HK 的相关服务

• 渗透测试
• 安全风险评估与审计 (SRAA)
• ISO 27001 认证
• 隐私影响评估 (PIA)
• 安全事件响应 (IR)
• 安全意识培训