Riktlinjer för penetrationstest enligt PCI DSS

Nu har PCI Security Standards Counsil (PCI SSC) valt att uppdatera sina riktlinjer för hur ett penetrationstest ska utföras enligt PCI DSS. Informationen kompletterar och är ytterligare vägledning till vad som finns redan finns i PCI DSS och är skriven som allmänna riktlinjer. 2008 var senaste gången som riktlinjerna uppdaterades så det var verkligen läge för en uppfräschning.

De olika områdena som berörs i riktlinjerna är:

Komponenter i ett penetrationstest

PCI SSC vill understryka vilka delar som ingår i ett penetrationstest och hur detta skiljer sig från en sårbarhetsscanning, inklusive omfattning, tillämpning, social engineering och pentest av nätverk.

Kvalifikationer hos en penetrationstestare

Fastställande av kvalifikationer hos den som gör penetrationstestet, baserat på tidigare erfarenheter och certifieringar.

Metodik vid penetrationstest

Detaljerad information som berör de tre primära delarna av ett penetrationstest; pre-engagement, engagement och post-engagement.

Guidelines för rapportering

Guidelines för hur man tar fram en omfattande penetrationstestrapport som innehåller den viktigaste informationen att ta med i en skriftlig rapport samt en checklista som kan användas av organisationen eller av en PCI-auktoriserad revisor för att säkerställa att all den viktiga informationen finns inkluderad.

Värt att poängtera är att riktlinjerna ska betraktas som kompletterande vägledning och inte på något sätt skärper eller ersätter de krav som finns i PCI DSS. Hänvisningar i det dokumentet som länkas till nedan härrör PCI DSS version 3.0, men alla allmänna principer och metoder som praktiseras kan tillämpas till vilken version av PCI DSS som helst.