Il PCI SCC afferma quanto segue nella guida per i test di penetrazione :
Per PCI DSS Requirements 11.3.1 and 11.3.2, penetration testing must be performed at least annually and after any significant change—for example, infrastructure or application upgrade or modification—or new system component installations. What is deemed “significant” is highly dependent an entity’s riskassessment process and on the configuration of a given environment. Because of this variability, a significant change is not prescribed by PCI DSS. If the change could impact the security of the network or allow access to cardholder data, it may be considered significant by the entity. Penetration testing of significant changes is performed to ensure that controls assumed to be in place are still working effectively after the upgrade or modification
Pertanto spetta alle singole organizzazioni definire ciò che costituisce un cambiamento significativo nella loro documentazione. Tuttavia, poiché il test di penetrazione dovrebbe includere valutazioni di sicurezza su tutte le applicazioni in-scope presenti, un'organizzazione potrebbe aver specificato che le nuove funzionalità in queste applicazioni costituiscono un cambiamento significativo.
In questo caso, è consentito sotto PCI DSS solo "testare" le applicazioni modificate, oppure PCI impone di ritestare anche l'intera infrastruttura, anche se questi singoli server potrebbero non essere stati modificati? Sì, in qualsiasi ecosistema esiste la legge delle conseguenze non intenzionali , tuttavia se può essere ragionevolmente implicito che le modifiche non influenzeranno qualcos'altro il test deve essere completamente ripetuto?
Naturalmente, se è consentito, questo dovrebbe essere documentato come tale che questa è la linea che l'organizzazione sta prendendo. Inoltre, poiché esiste un test di penetrazione annuale di tutto ciò che è in ambito, ciò coprirebbe eventuali nuove vulnerabilità che potrebbero interessare il resto della rete.