LlamarPresupuesto

PCI DSS : guía complementaria sobre pruebas de penetración (Penetration testing guidance)

Ante la nueva versión de la Payment Card Industry Data Security Standard PCI DSS 3.1, los comerciantes no sólo debe prepararse para el inminente cambio de los protocolos de cifrado de datos vulnerables, sino que además deberán proporcionar detalles exactos sobre cómo planean hacer esa transición.
PCI DSS Penetration testing guidance

En este escenario y con intención de eliminar barreras y dificultados de las empresas para adaptarse a los nuevos requerimientos, PCI Security Standards Council (SSC) ha publicado una nueva guía complementaria sobre pruebas de penetración con el claro objetivo de ser una ayuda eficaz para evaluar, implementar y mantener una metodología de pruebas de penetración.

Los expertos apuntan que las nuevas directrices tienen un enfoque más prescriptivo que en el pasado, en el sentido de que la normativa exige el uso de soluciones específicas (indicadas en su propio contenido) para su cumplimiento, lo que debería ayudar a las organizaciones.

En concreto esta guía desarrolla el requisito 11.3 del estándar PCI DSS por lo novedoso que resulta para las pequeñas empresas y donde esta guía pretende ayudar a reducir cualquier confusión sobre el tema ya que durante muchos años, los requisitos regulatorios y de cumplimiento quizás han sido ambiguos y poco definidos, dejando gran parte de la interpretación al evaluador o negocio afectado.

Diferencias entre los análisis de vulnerabilidad y pruebas de penetración

En esta guía se remarcan las diferencias entre los análisis de vulnerabilidad y pruebas de penetración que todavía causan confusión en la industria por lo que la guía describe en detalle las diferencias.

Los análisis de vulnerabilidades, que deben realizarse trimestralmente, se utilizan para identificar las vulnerabilidades los cuales se pueden hacer con las herramientas automatizadas.

Las Pruebas de penetración que deben ser realizadas anualmente, por el contrario, se utilizan para identificar maneras de explotar las vulnerabilidades conocidas y se espera que se realicen

Este nuevo enfoque supone pasar de un enfoque de requisitos meramente de exploración (Análisis de vulnerabilidades) a requisitos denominados «pen-test» (pruebas de penetración) lo que puede suponer un esfuerzo económico adicional para las empresas por lo que en este sentido es fundamental tener en cuenta:

  • Determinar el alcance de las pruebas para acotar y reducir el coste
  • Confiar esta tarea a expertos con un conocimiento sólido y profundo de las tecnologías involucradas en los sistemas, aplicaciones y servicios, además de una óptica y experiencia amplia en el comportamiento de los sistemas operativos. Mediante estas técnicas, el Black, White o Ethical Hacker puede descubrir vulnerabilidades en el sistema estudiado,
Puede interesarte...  Subvenciones ISO 9001 14001 OHSAS Pais Vasco Sector Construcción

INGERTEC proporciona servicios de soporte y formación en materia de PCI DSS, tanto al personal que implanta y gestiona el despliegue del plan de acción de seguridad en materia de medios de pago, asi como para garantizar que toda la actividad que se desarrolle este supervisada por personal especializado (QSA o PCIP) asegurando de cara a una futura auditoría, que las acciones tomadas se ejecutan correctamente.

INGERTEC expertos en Seguridad de Medios de Pago

más Información PCI DSS

¿Por qué elegir a INGERTEC?

En INGERTEC está siempre al día en los distintos sistemas de gestión y contamos con el 100% de empresas certificadas, todas las empresas que han pasado la auditoría de certificación con INGERTEC se han certificado..

Nos adaptamos al cliente , a su necesidad, a su tiempo para conseguir el éxito de la certificación de manera rápida y eficaz.

Compruébelo, llámenos al 900 897 931 o escríbanos a info@ingertec.com

Deja un comentario