Applicabilità della scansione delle vulnerabilità per PCI DSS

Naviga le tue risposte
2

Sono pienamente aggiornato sui requisiti PCI DSS e ho partecipato al corso ISA di recente. Il corso è stato utile e sono stato in grado di rimbalzare idee dall'addestratore. Tuttavia continuo a tornare su un aspetto del PCI per il quale devo decidere se in questa fase se è applicabile o se qualcun altro ha intrapreso questa strada: scansioni di vulnerabilità.

Ho avuto l'impressione che se posso dimostrare che i dati delle carte nel nostro ambiente sono completamente crittografati dal pad PIN al nostro gestore di transazioni e non c'è modo che qualcuno possa hackerarlo o recuperare le chiavi di decifratura o persino essere in grado di influenza la transazione, quindi una scansione di vulnerabilità non aggiungerà alcuna sicurezza. (Tuttavia vedo il punto delle scansioni di vulnerabilità da un punto di vista generale della sicurezza.) Al momento è una questione di costi e tempo.

Il setup (merchant Level 2 - SAQ C):
Siti multipli, segmentati e non collegati tra loro tramite VPN / LAN / ecc. Tutti i siti standalone. Utilizziamo un gestore di transazioni PCI DSS Level 1 Card e utilizziamo il loro software e i pad PIN compatibili con lo standard PCI. I dati vengono crittografati all'interno del dispositivo e quindi trasmessi. Non abbiamo accesso ai dati o altre informazioni oltre alle ultime quattro cifre dopo che la transazione è stata elaborata.

Al momento disponiamo di test di penetrazione esterni trimestrali eseguiti da un ASV.

Con la crittografia e l'accesso, qualcuno ha la sensazione di poter declassare le scansioni di vulnerabilità?

    
posta Michael Lock 26.10.2012 - 11:35
fonte

3 risposte

6

Assolutamente no.

Se il tuo obiettivo è solo di ottenere la conformità PCI-DSS, stai valutando la situazione in modo errato. La conformità dovrebbe essere un sottoprodotto di buona sicurezza, e regolari test di penetrazione e scansioni di vulnerabilità sono una parte inestimabile di ciò.

Ad esempio, diciamo che un 0day è stato rilasciato per Windows XP SP3. Ci sono buone probabilità che tu non accolga la notizia e sarai ignaro dei potenziali problemi. Una scansione periodica delle vulnerabilità avviserà l'utente di questo problema non appena lo scanner viene aggiornato con una routine di rilevamento. Questo è fondamentale per mantenere la barriera di accesso alla rete relativamente alta.

Se il costo è un fattore importante, è il momento di presentare il caso per un aumento del budget. È necessario valutare i potenziali rischi e danni e fare un buon esempio sul motivo per cui è necessario eseguire queste scansioni.

    
risposta data 26.10.2012 - 12:03
fonte
4

Assolutamente no.

Anche se sono completamente d'accordo con la risposta di @ Polynomial, sulla priorità di sicurezza e sulla conformità come sottoprodotto, è necessario realizzare qualcosa di molto importante.

Compliance is not about security.

In parole povere, hai bisogno di per eseguire queste scansioni, perché è quello che richiede il regolamento, se vuoi la conformità. La crittografia e il controllo degli accessi sono altri due requisiti, ma sono completamente separati dal requisito di scansione. (PCI non riporta "O crittografare tutti i dati delle carte, O eseguire una scansione delle vulnerabilità".)
Entrambi sono obbligatori, nessuno dei due può essere descopato e uno può impedire la conformità.

Non dimenticare il modello di rischio reale di cui hai bisogno quando si ha a che fare con la conformità PCI, sintetizzato dalla nota Legge di conformità di AviD :

"PCI compliance reduces the risk of the penalties of non-compliance."

    
risposta data 27.10.2012 - 22:59
fonte
0

Prima di tutto, lasciami dire che @Polynomial ha ragione al 100%. Quando si maneggia / memorizza con dati CC, PCI DDS non può essere ignorato.

Inoltre, come correttamente sottolineato da @AviD, questo non è "solo" un problema di sicurezza ma anche un problema di regolamentazione.

Avevo detto tutto ciò che volevo offrire un modo per aggirare il tuo problema.

Se ti capisco correttamente qui, stai cercando di gestire la sezione 6.6 della bolletta che richiede revisioni periodiche del codice (dopo ogni aggiornamento) o per l'integrazione con un WAF compatibile con DDS PCI (Web Application Firewall).

PCI DDS 6.6 spiegato

Scansione delle vulnerabilità è principalmente orientata verso la prima opzione, in quanto ti aiuterà a identificare i punti deboli del tuo codice (e, si spera, correggerli). Mentre ci sono alcuni vantaggi a questo, sono per lo più a lungo termine e - come hai giustamente affermato - nel breve periodo questa attività sarà molto più dispendiosa in termini di tempo e denaro.

Suggerirei di andare dall'altra parte e installare un WAF compatibile con DDS PCI "attorno" alla tua rete di siti.

Questo non richiederà assolutamente tempo e ti fornirà lo stesso (o anche meglio) livello di protezione + risolverà immediatamente i problemi relativi a PCI DDS. Questo può anche essere usato come soluzione temporanea, da sostituire in futuro (quando avrai il tempo di gestire le vulnerabilità del codice).

Grazie ai progressi della tecnologia Cloud, oggi puoi "noleggiare" un WAF compatibile con DDS PCI per poche decine di dollari al mese. Attualmente questo servizio è offerto solo da una società di sicurezza (una società nota per la quale lavoro attualmente e che non menzionerò qui perché non voglio "collegare" i nostri servizi).

Dirò questo:

A. Puoi ottenere la protezione completa in pochi minuti (semplice modifica del DNS)

B. Avrai un'opzione per produrre rapporti DDS PCI

C. Come extra "bonus" il servizio è anche combinato con l'accelerazione Gloal CDN e Caching e la protezione Spammer

Spero che questo ti aiuti a risolvere il tuo problema.

GL

    
risposta data 28.10.2012 - 09:17
fonte

Leggi altre domande sui tag

Utilizzo di RADIUS per l'autenticazione dell'host Modo più sicuro per accedere a paypal, mobile o pc?