Säkerhetsblogg

Penetrationstester och PCI DSS: dubblering i framtiden

Nyligen släpptes tydliggörande runt nya krav för tjänsteleverantörer när det kommer till penetrationstester.

PCI DSS v3.2 innehåller numera ytterligare ett krav som börjar gälla 1:a februari 2018:

If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods.

Detta är ingen liten detalj då kravet har konsekvenser på bedömningar som görs under 2018.

För alla PCI DSS-bedömningar på tjänsteleverantörer på och efter februari 2018, kommer alla det att krävas att det finns en process på plats för penetrationstester var sjätte månad. För de bedömningar som utförs mellan 1 februari och 1 augusti 2018 och därmed inte har inkluderat halvårstestet kommer det att krävas att tjänsteleverantörer har bokat in en pentest före eller på första augusti.

Så för att göra en lång historia kort, kommer alla tjänsteleverantörer hädanefter att behöva säkerställa att:

  1. de från och med den 1 februari, 2018 har en process på plats för att utföra penetrationstester var sjätte månad
  2. en penetrationstest har utförts innan den 1 augusti 2018
  3. penetrationstester utförs minst en gång var sjätte månad därefter

Att kraven från SSC nu dubbleras gällande penetrationstester tyder på att ’scoping’ och segmentering förblir ett av de klurigaste ämnena inom PCI DSS.

Vilket i sig är ett bra skäl till att ta sig en titt på de nyligen släppta riktlinjerna (december 2016) ” Guidance for PCI DSS Scoping and Network Segmentation”.

När det gäller frågan om rådets riktlinjer är den nya informationsbilagan till ”Penetration Testing Guidance” tydlig, uttömmande och i min mening väldigt välstrukturerad. Jag minns att jag var väldigt glad när den kom i mars 2015 då versionen den ersatte var minst sagt bristfällig. Ändå verkar det nu som om bilagan orsakar en viss förvirring som är så pass att PCI SSC nu överväger att släppa ännu en uppdatering inom snar framtid.

Att spekulera om vad som kan vara så förvirrande kan tyckas lönlöst så är det viktigt att komma ihåg att riktlinjer och informationsbilagor är just det, och ska användas som vägledning och hjälpmedel för organisationer för att uppnå PCI DSS-kraven.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com