{"id":3297,"date":"2022-06-02T11:01:17","date_gmt":"2022-06-02T09:01:17","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3297"},"modified":"2022-06-08T09:46:55","modified_gmt":"2022-06-08T07:46:55","slug":"vergleich-von-pci-dss-3-2-1-und-4-0-anforderungen-fur-penetrationstests","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pci-dss\/vergleich-von-pci-dss-3-2-1-und-4-0-anforderungen-fur-penetrationstests\/","title":{"rendered":"Vergleich von PCI DSS 3.2.1 und 4.0: Anforderungen f\u00fcr Penetrationstests"},"content":{"rendered":"\n<p>Die aktuelle Version 3.2.1 und die neuere Version 4.0 des Sicherheitsstandards PCI DSS erfordern die Durchf\u00fchrung von Penetrationstests. Der PCI-Standard legt detaillierte Anforderungen fest, die ein Penetrationstest erf\u00fcllen muss. In PCI DSS 3.2.1 ist die Anforderung in Anforderung 11.3 und in PCI DSS 4.0 in Anforderung 11.4 geregelt.<\/p>\n\n\n\n<p>Diese Anforderungen sind in beiden Versionen 3.2.1 und 4.0 grunds\u00e4tzlich identisch:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>basierend auf branchenweit akzeptierten Penetrationstestans\u00e4tzen<\/li><li>Abdeckung des gesamten CDE-Perimeters und kritischer Systeme<\/li><li>Tests von innerhalb und au\u00dferhalb des Netzwerks<\/li><li>Validierung jeglicher Segmentierungs- und Scope-reduzierenden Kontrollen<\/li><li>Testen der Netzwerkschicht und der Anwendungsschicht<\/li><li>einschlie\u00dflich \u00dcberpr\u00fcfung und Ber\u00fccksichtigung von Bedrohungen und Schwachstellen, die in den letzten 12 Monaten aufgetreten sind<\/li><li>alle 12 Monate und nach jeder wesentlichen \u00c4nderung muss der externe und der interne Pentest durchgef\u00fchrt werden, sowie der Segmentierungstest<\/li><li>Service Provider m\u00fcssen alle 6 Monate einen Segmentierungstest durchf\u00fchren<\/li><\/ul>\n\n\n\n<p>Es gibt zwei Bereiche, bei die beiden Standard-Versionen auseinander gehen, w\u00e4hrend PCI 4.0 die ausgereiftere Version darstellt. So hat PCI 4.0 einen etwas anderen Ansatz f\u00fcr seine Anforderungen an den Penetrationstest der Anwendungsschicht:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>PCI v3.2.1 inkludiert Requirement 6.5 f\u00fcr Anwendungstests um folgende Punkte zu pr\u00fcfen:<ul><li>injection flaws (e.g. SQL, LDAP, OS Commant, XPath)<\/li><li>buffer overflows<\/li><li>insecure crypto storage, insecure communications<\/li><li>improper error handling<\/li><li>XSS<\/li><li>improper access controls<\/li><li>CSRF<\/li><li>broken authentication and session management<\/li><li>sowie aktuellere Best Practices (e.g. OWASP Top 10)<\/li><\/ul><\/li><li>PCI v4.0: inkludiert Requirement 6.2.4, sodass f\u00fcr Anwendungstests mindestens folgendes durchgef\u00fchrt wird<ul><li>injection attacks (including SQL, LDAP, XPath, command parameters, object fault or injectiontype flaws)<\/li><li>attacks on data and data structures (for example manipulating buffers, input data)<\/li><li>attacks on cryptography usage<\/li><li>attacks on business logic including XSS and CSRF<\/li><li>attacks on access control mechanisms<\/li><\/ul><\/li><\/ul>\n\n\n\n<p>In PCI 4.0 muss der Segmentierungstest auch die Best\u00e4tigung der Wirksamkeit jeglicher Verwendung von Isolationstechniken f\u00fcr verschiedene Sicherheitsstufen umfassen (siehe Anforderung 2.2.3).<\/p>\n\n\n\n<p>Nat\u00fcrlich muss der angewendete Penetrationstestansatz das Beheben und erneute Testen aller relevanten Schwachstellen umfassen, die zuvor identifiziert wurden &#8211; unabh\u00e4ngig von der Version des PCI-Standards.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die aktuelle Version 3.2.1 und die neuere Version 4.0 des Sicherheitsstandards PCI DSS erfordern die Durchf\u00fchrung von Penetrationstests. Der PCI-Standard legt detaillierte Anforderungen fest, die ein Penetrationstest erf\u00fcllen muss. In PCI DSS 3.2.1 ist die Anforderung in Anforderung 11.3 und in PCI DSS 4.0 in Anforderung 11.4 geregelt. Diese Anforderungen sind in beiden Versionen 3.2.1 &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/pci-dss\/vergleich-von-pci-dss-3-2-1-und-4-0-anforderungen-fur-penetrationstests\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[248,259,260],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3297","6":"format-standard","7":"category-pci-dss","8":"post_tag-owasp-top-10","9":"post_tag-pci-dss-3-2-1","10":"post_tag-pci-dss-4-0"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3297"}],"version-history":[{"count":2,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3297\/revisions"}],"predecessor-version":[{"id":3299,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3297\/revisions\/3299"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}