Si maneja información de tarjetas de crédito, probablemente deba cumplir con los requisitos establecidos por la Industria de Tarjetas de Pago (PCI). Para cumplir, necesita una certificación, y como parte del proceso de certificación, se requiere una prueba de penetración exhaustiva de los sistemas relacionados con el Entorno de Datos del Titular de la Tarjeta (CDE). Podemos realizar esta prueba de penetración independiente.

Proporcionamos una prueba de penetración independiente del CDE y los sistemas relacionados que se encuentran dentro de un alcance definido o aceptado por el evaluador de PCI.

Servicio

Valor

Entregables

• Prueba de penetración independiente del CDE.

• El evaluador de PCI puede utilizar la prueba de penetración para verificar el cumplimiento técnico de PCI.

• Un informe que cumple con los requisitos de PCI y que puede utilizar el asesor de PCI para verificar si el nivel de seguridad del CDE es suficiente.

• Sesión informativa con usted o el asesor de PCI si es necesario.

Metodología

Nuestra metodología de pruebas de penetración se basa en la Guía de Pruebas de Penetración y la Guía para el Alcance y la Segmentación de Red de PCI DSS, documentos complementarios del Consejo de Normas de Seguridad PCI. Esta metodología se complementa con nuestro conocimiento especializado en hacking y técnicas para comprometer sistemas y redes, junto con las directrices de OWASP y NIST sobre Pruebas y Evaluación de Seguridad de la Información. Finalmente, se ajustará según los requisitos específicos del Asesor PCI.

En general, el alcance abarcará pruebas de penetración internas, externas, de aplicación y de red del CDE y los sistemas conectados. A continuación, se presentan ejemplos de áreas que suelen estar dentro del alcance, pero el asesor de PCI define este alcance en última instancia.

• Segmentación de red y segregación del CDE (Cardholder Data Environment).

• Puertos y servicios expuestos en sistemas fuera del CDE que tienen acceso al CDE.

• Uso de mecanismos de protección para garantizar la confidencialidad de los datos de CHD y SAD de sistemas externos a CDE, como por ejemplo enmascarar la información de tarjetas de crédito o utilizar encriptación.

• Revisión del esquema de cifrado/descifrado y del almacenamiento de claves junto con el acceso a esas claves.

• Prueba de penetración de los sistemas en el CDE para identificar vulnerabilidades accesibles externa e internamente al CDE tanto en la capa de aplicación como en la de red, incluidas cualquier conexión de acceso remoto.

• Las pruebas de las aplicaciones CDE se realizarán contra cualquier rol o tipo de acceso que no tenga autorización explícita a los datos del titular de la tarjeta para verificar que las cuentas sin acceso no puedan comprometer dichos datos.

• Intentos de salir de la interfaz del software en un punto de interacción (POI) y obtener acceso al sistema operativo subyacente.

Desarrollo

La entrega requiere una participación mínima de su personal técnico y consistirá principalmente en una reunión inicial al comenzar el proyecto y preguntas ocasionales.