Vergleich von PCI DSS 3.2.1 und 4.0: Anforderungen für Penetrationstests
Die aktuelle Version 3.2.1 und die neuere Version 4.0 des Sicherheitsstandards PCI DSS erfordern die Durchführung von Penetrationstests. Der PCI-Standard legt detaillierte Anforderungen fest, die ein Penetrationstest erfüllen muss. In PCI DSS 3.2.1 ist die Anforderung in Anforderung 11.3 und in PCI DSS 4.0 in Anforderung 11.4 geregelt.
Diese Anforderungen sind in beiden Versionen 3.2.1 und 4.0 grundsätzlich identisch:
- basierend auf branchenweit akzeptierten Penetrationstestansätzen
- Abdeckung des gesamten CDE-Perimeters und kritischer Systeme
- Tests von innerhalb und außerhalb des Netzwerks
- Validierung jeglicher Segmentierungs- und Scope-reduzierenden Kontrollen
- Testen der Netzwerkschicht und der Anwendungsschicht
- einschließlich Überprüfung und Berücksichtigung von Bedrohungen und Schwachstellen, die in den letzten 12 Monaten aufgetreten sind
- alle 12 Monate und nach jeder wesentlichen Änderung muss der externe und der interne Pentest durchgeführt werden, sowie der Segmentierungstest
- Service Provider müssen alle 6 Monate einen Segmentierungstest durchführen
Es gibt zwei Bereiche, bei die beiden Standard-Versionen auseinander gehen, während PCI 4.0 die ausgereiftere Version darstellt. So hat PCI 4.0 einen etwas anderen Ansatz für seine Anforderungen an den Penetrationstest der Anwendungsschicht:
- PCI v3.2.1 inkludiert Requirement 6.5 für Anwendungstests um folgende Punkte zu prüfen:
- injection flaws (e.g. SQL, LDAP, OS Commant, XPath)
- buffer overflows
- insecure crypto storage, insecure communications
- improper error handling
- XSS
- improper access controls
- CSRF
- broken authentication and session management
- sowie aktuellere Best Practices (e.g. OWASP Top 10)
- PCI v4.0: inkludiert Requirement 6.2.4, sodass für Anwendungstests mindestens folgendes durchgeführt wird
- injection attacks (including SQL, LDAP, XPath, command parameters, object fault or injectiontype flaws)
- attacks on data and data structures (for example manipulating buffers, input data)
- attacks on cryptography usage
- attacks on business logic including XSS and CSRF
- attacks on access control mechanisms
In PCI 4.0 muss der Segmentierungstest auch die Bestätigung der Wirksamkeit jeglicher Verwendung von Isolationstechniken für verschiedene Sicherheitsstufen umfassen (siehe Anforderung 2.2.3).
Natürlich muss der angewendete Penetrationstestansatz das Beheben und erneute Testen aller relevanten Schwachstellen umfassen, die zuvor identifiziert wurden – unabhängig von der Version des PCI-Standards.