Il PCI DSS penetration testing è uno degli obblighi più costosi e spesso meno compresi dello standard. Molti merchant confondono il pen test con il vulnerability scanning, sottovalutano i costi o non sanno esattamente quando è obbligatorio. Il requisito 11.4 del PCI DSS v4 specifica con precisione chi deve fare il pen test, con quale frequenza e con quali criteri. Ridurre il perimetro da testare attraverso la tokenizzazione è la leva più efficace per abbattere i costi di questo obbligo ricorrente.
L'obbligo di pen test nel PCI DSS: requisiti e frequenza
Il PCI DSS richiede il penetration testing per i merchant che hanno sistemi propri nel proprio CDE (Cardholder Data Environment). Non si applica ai merchant con perimetro SAQ A, che non hanno sistemi propri che toccano dati carta. Per tutti gli altri, il requisito 11.4 del PCI DSS v4 stabilisce che il pen test deve essere eseguito almeno una volta all'anno e dopo qualsiasi modifica significativa all'infrastruttura o alle applicazioni del CDE. Il requisito si applica sia alle applicazioni web che all'infrastruttura di rete, con approcci distinti per i due livelli.
Il pen test PCI DSS deve seguire una metodologia riconosciuta (OWASP, PTES, NIST SP 800-115 o equivalente) e deve includere sia test dall'esterno (external pen test) che dall'interno del perimetro (internal pen test). Deve testare i controlli di segmentazione di rete, verificando che il CDE sia effettivamente isolato dal resto della rete aziendale. Nel PCI DSS v4 sono stati rafforzati i requisiti di documentazione dei risultati e dei remediation plan: non è sufficiente eseguire il test, bisogna dimostrare di aver risolto le vulnerabilità critiche identificate entro i tempi previsti.
Quanto costa un pen test PCI DSS in Italia
I costi di un pen test PCI DSS in Italia variano significativamente in base alla complessità dell'infrastruttura e al numero di sistemi nel perimetro. Per un merchant di medie dimensioni con un CDE che include server web, database, sistemi di back-office e infrastruttura di rete, il costo tipico di un pen test annuale va da 8.000 a 30.000 euro. Per infrastrutture più complesse o per merchant con applicazioni custom, i costi possono essere superiori. A questo si aggiungono i costi di remediation delle vulnerabilità identificate e il costo del pen test di verifica (retest) che molti acquirer richiedono dopo la risoluzione delle vulnerabilità critiche.
La differenza tra pen test e vulnerability scanning è fondamentale per capire i costi. Il vulnerability scanning è un processo automatizzato che identifica vulnerabilità note nei sistemi analizzando le firme delle vulnerabilità rispetto a database come CVE. Il PCI DSS richiede vulnerability scanning trimestrale da parte di un ASV approvato, con costi che partono da poche centinaia di euro per scan. Il pen test è invece un'attività manuale condotta da professionisti di sicurezza che tentano attivamente di sfruttare le vulnerabilità per verificare l'impatto reale. Non può essere sostituito con il vulnerability scanning automatizzato, anche se i due strumenti si completano.
Ridurre i costi del pen test riducendo il perimetro
Il costo di un pen test PCI DSS è direttamente proporzionale alla dimensione del perimetro da testare. Un merchant con un CDE che include 50 sistemi paga molto di più rispetto a un merchant con un CDE di 5 sistemi. La tokenizzazione riduce il CDE spostando la gestione dei dati carta al provider certificato. Il merchant che non ha sistemi propri che toccano dati carta non ha un CDE e quindi non è soggetto al requisito di pen test (rientrerebbe nel perimetro SAQ A). Il merchant che ha solo pochi sistemi nel perimetro ridotto paga un pen test proporzionalmente più economico.
Un esempio concreto: un merchant ecommerce che oggi gestisce un'applicazione web custom con raccolta diretta dei dati carta via API, un database che memorizza i PAN tokenizzati internamente e infrastruttura di hosting propria, ha un CDE che può includere decine di componenti. Dopo la migrazione a una hosted payment page con tokenizzazione esterna, lo stesso merchant non ha più sistemi propri nel CDE. Il pen test annuale diventa non applicabile al perimetro del merchant (è il provider a dover fare il pen test della propria infrastruttura certificata, non il merchant). Il risparmio sul pen test annuale da solo può giustificare l'investimento nella tokenizzazione in meno di due anni.
Domande frequenti
Un pen test PCI deve essere fatto da un provider certificato?
Il PCI DSS non richiede che il pen test sia eseguito da un provider certificato da un ente specifico, a differenza del vulnerability scanning che deve essere fatto da un ASV approvato. Il PCI SSC richiede che il pen test sia eseguito da personale qualificato e indipendente (interno o esterno) con competenze dimostrabili in sicurezza offensiva. In pratica, la maggior parte degli acquirer e dei QSA accetta pen test condotti da società di sicurezza con certificazioni riconosciute come OSCP, CEH o CREST. Verifica con il tuo acquirer i requisiti specifici.
Cosa succede se il pen test trova vulnerabilità critiche?
Se il pen test identifica vulnerabilità critiche, il merchant deve risolverle entro i tempi previsti dal proprio piano di remediation e, tipicamente, eseguire un pen test di verifica (retest) per confermare che le vulnerabilità siano state effettivamente corrette. Il PCI DSS v4 richiede documentazione del processo di remediation. Se le vulnerabilità critiche non vengono risolte, il merchant non può attestare la conformità PCI DSS per quel ciclo di valutazione, il che può comportare richieste di remediation da parte dell'acquirer.
Con un CDE ridotto il pen test è davvero più economico?
Sì, in modo significativo. Il costo di un pen test dipende dal numero di sistemi, applicazioni e interfacce di rete nel perimetro. Un CDE ridotto a pochi sistemi (o eliminato) riduce proporzionalmente il costo del test. Un merchant SAQ A non ha un CDE proprio e non è soggetto al requisito di pen test: il risparmio è del 100% su questa voce. Un merchant con CDE ridotto a 3-5 sistemi pagherà un pen test 5-10 volte meno rispetto a un merchant con CDE completo di 50 componenti.
Perimetro ridotto significa pen test più veloce, meno costoso e spesso non necessario: la tokenizzazione è l'investimento più efficiente per ridurre i costi ricorrenti della compliance PCI DSS. Scopri PCI Proxy EU.