PCI DSS 3.0: 11.3 - Cosa succede se una vulnerabilità a basso rischio impedisce la conformità con un altro requisito?

Question

PCI DSS 3.0: 11.3 - Cosa succede se una vulnerabilità a basso rischio impedisce la conformità con un altro requisito?

#1 da (2 voti)

3

Come comprendo i requisiti dei test di penetrazione PCI DSS 3.0 / 3.1, un'azienda è conforme a 11.3 se il test di penetrazione non restituisce alcuna vulnerabilità ad alto rischio.

Tuttavia, cosa succede se una vulnerabilità a basso rischio identificata durante il test di penetrazione influenza un requisito al di fuori di 11.3? La società è considerata non conforme?

Ad esempio, la scoperta di un indirizzo IP interno è a basso rischio da un punto di vista esterno, tuttavia ciò influirebbe sulla conformità con 1.3.8, che stabilisce che gli indirizzi privati non devono essere divulgati.

penetration-test pci-dss

posta Cellobin22 09.07.2015 - 21:57

fonte

1 risposta

Leggi altre domande sui tag penetration-test pci-dss

Codici evento per Unix [chiuso] Sicurezza di OpenVPN contro sofisticate soluzioni DPI

score 2 · Accepted Answer

Sì, sei responsabile per affrontare eventuali lacune di cui sei a conoscenza. Non importa come ti sei reso conto di avere una violazione 1.3.8; sei responsabile per il rimedio. Il fatto che non soddisfi la soglia per la riparazione sotto 11.3 non è rilevante.