Sono richiesti test di penetrazione e vulnerabilità per la conformità PCI? [chiuso]

0

Se una società deve essere conforme PCI, ci sono multe applicate se non eseguono test di penetrazione o vulnerabilità? Se sì, è una multa automatica, o è solo se vengono presi?

    
posta pzirkind 13.05.2015 - 19:16
fonte

3 risposte

5

Se non fornisci la documentazione della tua conformità (un SAQ o il tuo AoC e il RoC) al tuo processore / acquirente, smettono di processare le transazioni per te, che è un po 'come una multa in cui inizi a perdere denaro e clienti .

Per citare la panoramica del Questionario di autovalutazione PCI DSS (SAQ) ,

you may be required to share [your SAQ] with your acquiring bank. Please consult your acquirer for details regarding your particular PCI DSS validation requirements.

I requisiti DSS 11.3.1 e 11.3.2 richiedono pentest e in base a questo articolo che influisce su chiunque abbia SAQ A-EP, C, D-MER e D-SP.

    
risposta data 13.05.2015 - 23:07
fonte
1

Se sei in una posizione in cui puoi autovaluterti, puoi mentire e rispondere che tutti i requisiti sono pienamente a posto. In genere, l'acquirente richiederà una copia del questionario SAQ e l'attestazione di conformità firmata. È improbabile che vengano richieste ulteriori prove. Un'autovalutazione è proprio questo; una revisione interna dei propri processi e conformità ai requisiti applicabili all'interno della norma senza la necessità di fornire prove basate su audit a terzi.

L'autovalutazione e l'affermazione che i requisiti sono in vigore quando non lo sono non forniranno alcuna sicurezza a te stesso o ai tuoi clienti e ti renderanno più vulnerabile a una violazione. Se sei esaminato da una terza parte in qualsiasi momento, la tua mancanza di conformità sarà piuttosto evidente. Prima o poi, la mancanza di sicurezza costerà all'azienda più che creare e gestire un ambiente sicuro.

    
risposta data 14.05.2015 - 17:41
fonte
1

Sì, in determinate situazioni.

link

Q: Do I need vulnerability scanning to validate compliance?

A: If you qualify for certain Self-Assessment Questionnaires (SAQs) or you electronically store cardholder data post authorization, then a quarterly scan by a PCI SSC Approved Scanning Vendor (ASV) is required to maintain compliance.

Questo stabilisce le circostanze in cui è richiesta la scansione delle vulnerabilità per la conformità.

Q: What are the penalties for noncompliance?

A: The payment brands may, at their discretion, fine an acquiring bank $5,000 to $100,000 per month for PCI compliance violations. The banks will most likely pass this fine on downstream till it eventually hits the merchant.

Questo mostra le sanzioni per non conformità. È una multa obbligatoria? Forse sì forse no. Ma esiste.

    
risposta data 14.05.2015 - 20:30
fonte

Leggi altre domande sui tag