PCI DSS 3.0: 11.3 - Cosa succede se una vulnerabilità a basso rischio impedisce la conformità con un altro requisito?

3

Come comprendo i requisiti dei test di penetrazione PCI DSS 3.0 / 3.1, un'azienda è conforme a 11.3 se il test di penetrazione non restituisce alcuna vulnerabilità ad alto rischio.

Tuttavia, cosa succede se una vulnerabilità a basso rischio identificata durante il test di penetrazione influenza un requisito al di fuori di 11.3? La società è considerata non conforme?

Ad esempio, la scoperta di un indirizzo IP interno è a basso rischio da un punto di vista esterno, tuttavia ciò influirebbe sulla conformità con 1.3.8, che stabilisce che gli indirizzi privati non devono essere divulgati.

    
posta Cellobin22 09.07.2015 - 21:57
fonte

1 risposta

2

Sì, sei responsabile per affrontare eventuali lacune di cui sei a conoscenza. Non importa come ti sei reso conto di avere una violazione 1.3.8; sei responsabile per il rimedio. Il fatto che non soddisfi la soglia per la riparazione sotto 11.3 non è rilevante.

    
risposta data 10.07.2015 - 17:18
fonte

Leggi altre domande sui tag