Handbook
  • Introdução
  • Empresa
    • Bem Vindo a Vantico!
    • Valores da Vantico
    • Trabalho Remoto
    • Branding
      • Cores
      • Tipografia
      • Ilustrações
      • Tom de voz & Descrições
    • Políticas
    • Soluções utilizadas pela Vantico
  • Serviços
    • Inteligência de ameaças
    • Revisão de código seguro
    • Pentest WEB
    • Pentest API
    • Pentest Mobile
    • Pentest rede interna
    • Pentest rede externa
    • Revisão de configuração cloud
    • Pentest Azure Active Directory
    • Pentest Desktop
    • Pentest IA/LLM
    • Red Team e Emulação de Adversário
  • Parceiros
    • Visão geral sobre Pentest
    • Tipos de Pentest
    • Relatório do Pentest
    • Teste de correção (Re-test)
    • Pentest para PCI DSS
    • Perguntas frequentes
  • Pentester
    • Markdown
    • Como reportar uma vulnerabilidade
  • Plataforma
    • Começe aqui
      • Acessando a Plataforma
      • Preparação para o Pentest
      • Selecione o Tipo de Pentest
      • Definir os Requisitos do Pentest
        • Alvo
        • Teste suas Crendenciais
        • Instruções para cada Pentest
      • Especifique os Detalhes do Pentest
        • Planejamento e Escopo do Pentest
        • Revisar e Enviar o Pentest
        • Expectativas do Pentest
        • Glossário
    • Changelog
    • Pentests
      • Processos do Pentest
        • Estados de Pentest
        • Lista de verificação de cobertura
      • Descobertas
        • Corrigindo Descobertas
        • Estados das Descobertas
        • Níveis de gravidade
      • Relatórios
        • Conteúdo de um relatório Pentest
        • Customize seu Relatório de Pentest
        • Relatórios de Pentest de marca conjunta
    • Colaboração
      • Colabore em Pentests
      • Gerenciar colaboradores do Pentest
      • Funções e permissões do usuário
      • Notificações
    • Domínios
    • DAST Scanner
      • Alvos
      • Autenticação do Alvo
    • Organização
      • Gerenciar usuários
    • Conta Vantico
      • Solucionar problemas de Login
      • Configurações da Conta
      • Melhores Práticas com a Senha
  • Metodologias
    • API
      • GraphQL
      • REST
    • Cloud
      • AWS
      • BucketLoot
      • Referências
    • Mobile
      • iOS
      • Android
      • Referências
    • Kubernetes
    • Rede Externa
      • Enumeração de Subdomínios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
    • Rede Interna
      • PowerShell
      • Movimentação Lateral
      • Pós Exploração
      • Escalação de Privilégios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
      • Referências
    • Aplicações Web
      • Checklist
      • Low Hanging Fruits
      • Gerando Valor
      • Técnicas
      • Automatizando o Scan por Secrets
      • Chaves API
      • Referências
    • Spear Phishing
    • Ferramentas
    • Gerando wordlists efetivas
    • Guia de engajamento de um pentest
Powered by GitBook
On this page
  • Escopo de um teste de intrusão de aplicativo PCI DSS:
  • Documentação fornecida antes do teste de intrusão do aplicativo PCI DSS:
  • Frequência de um teste de intrusão PCI DSS
  • Exemplo de uma mudança significativa
  • Exemplo de uma mudança não significativa

Was this helpful?

  1. Parceiros

Pentest para PCI DSS

Se você contratou a Vantico para um teste de intrusão PCI DSS, haverá algumas pequenas diferenças em comparação ao nosso processo regular de teste de intrusão. Os objetivos principais do teste de intrusão PCI DSS são:

  • Valide se o ambiente de dados do titular do cartão (CDE) é isolado, seguro e compatível com os padrões PCI DSS.

  • Garanta que os dados do titular do cartão (CHD) estejam protegidos contra acesso não autorizado.

  • Identifique e corrija vulnerabilidades que possam comprometer os dados do titular do cartão.

Como resultado, os seguintes processos serão ligeiramente diferentes:

  • O escopo do teste de intrusão.

  • A documentação antes do teste de intrusão do aplicativo PCI DSS.

  • A frequência dos testes de intrusão.

Escopo de um teste de intrusão de aplicativo PCI DSS:

Durante a chamada de escopo, além dos pontos já mencionados, os seguintes aspectos também serão considerados para um teste de intrusão de aplicativo PCI DDS:

  • Teste de Segurança de Aplicação

    • Teste todos os aplicativos dentro do CDE que lidam com CHD para identificar vulnerabilidades de segurança, incluindo aqueles que aderem aos padrões OWASP. Isso envolve avaliar ameaças comuns, como injeção de SQL, Cross-Site Scripting (XSS), vulnerabilidades de autenticação e falhas de autorização.

  • Teste Aplicação Externa

    • Simule ataques em aplicativos acessíveis externamente que fornecem acesso ou protegem CHD. Testes externos verificam a segurança de aplicativos voltados para a internet identificando configurações incorretas, portas expostas e vulnerabilidades de acesso externo.

  • Teste Aplicação Interna

    • Realize avaliações em aplicativos acessíveis de dentro da rede interna. Isso envolve testes de acesso não autorizado, escalonamento de privilégios e riscos potenciais de movimentação lateral se um usuário obtiver acesso não autorizado ao CDE.

  • Teste de Segmentação

    • Confirme se a segmentação de rede isola efetivamente os aplicativos relacionados ao CHD do restante do ambiente, minimizando o escopo do PCI.

Documentação fornecida antes do teste de intrusão do aplicativo PCI DSS:

Considere fornecer a seguinte documentação antes ou depois da chamada de escopo:

  • Um diagrama de rede ilustrando todos os segmentos de rede dentro do escopo do teste;

  • Um diagrama de fluxo de dados do titular do cartão;

  • Uma lista de todos os serviços e portos previstos expostos no perímetro do CDE;

  • Detalhes sobre como usuários autorizados acessam o CDE;

  • Uma lista de todos os segmentos de rede que foram isolados do CDE para minimizar o escopo.

Frequência de um teste de intrusão PCI DSS

De acordo com os Requisitos 11.3.1 e 11.3.2 do PCI DSS, o teste de intrusão é obrigatório pelo menos anualmente e após quaisquer alterações substanciais no ambiente de rede. Essas alterações podem abranger atualizações de infraestrutura, modificações de aplicativos ou a instalação de novos componentes do sistema.

A definição de uma "mudança significativa" flutua com base no processo de avaliação de risco de uma organização e na configuração específica de seu ambiente. Como o PCI DSS não fornece uma definição rígida de uma mudança significativa, cabe a cada entidade avaliar se uma mudança pode comprometer a segurança da rede ou expor os dados do titular do cartão. Se uma modificação pode afetar a segurança ou o acesso aos dados do titular do cartão, geralmente é considerada significativa e deve levar a um teste de intrusão.

Exemplo de uma mudança significativa

Migração para um novo sistema de firewall: atualizar ou substituir o firewall que protege o CDE é uma mudança substancial porque afeta diretamente a segurança da rede. Essa transição pode introduzir novas configurações, alterar caminhos de rede e influenciar o fluxo de dados, comprometendo potencialmente os dados do titular do cartão. Dado o papel crítico que os firewalls desempenham na segurança, um teste de intrusão é essencial para validar se os controles de segurança estão funcionando conforme o esperado.

Exemplo de uma mudança não significativa

Patch para um sistema não CDE: aplicar um pequeno patch de software a um sistema fora do CDE que não interage com ou impacta os dados do titular do cartão seria considerado uma mudança não significativa. Essa manutenção não altera os controles de segurança no CDE nem afeta o acesso a dados confidenciais, portanto, um teste de intrusão sob PCI DSS não é necessário.

PreviousTeste de correção (Re-test)NextPerguntas frequentes

Last updated 4 months ago

Was this helpful?