PCI-DSS – nowy dokument dotyczący testów penetracyjnych

Około roku temu ukazała się wersja trzecia standardu PCI-DSS (w skrócie: standard bezpieczeństwa narzucany firmom obsługującym karty płatnicze). Teraz został opublikowany dość szczegółowy dokument opisujący jak powinny wyglądać testy penetracyjne, które opisane są w samym standardzie. Dokładnie chodzi tutaj o wymaganie 11.3:

Za pcisecuritystandards.org

Na czerwono zaznaczyłem przy okazji informację, która mówi że do 30 czerwca informacja o pentestach jest „tylko” traktowana jako „best practice”, a później – jako wymóg.

Co więcej, w marcu tego roku opublikowano dokument mówiący o testach penetracyjnych w kontekście PCI-DSS (kolejne wersje standardu mają się nim posiłkować…). Całość częściowo bazuje na standardach takich jak OSSTMM czy NIST SP800-15, ale zawiera również elementy specyficzne dla „środowisk kartowych”:

Za pcisecuritystandards.org

 –ms