De PCI DSS-penetratietest is een van de kostbaarste en meest misverstane verplichtingen van de standaard. Veel handelaren verwarren penetratietests met kwetsbaarheidsscans, onderschatten de kosten of weten niet precies wanneer ze verplicht zijn. Vereiste 11.4 van PCI DSS v4 legt nauwkeurig vast hoe de pen-test moet worden uitgevoerd, hoe vaak en op basis van welke criteria. Het verkleinen van de te testen perimeter via tokenisatie is de meest effectieve hefboom om de kosten van deze terugkerende verplichting te verlagen.
De penetratietestplicht in PCI DSS: vereisten en frequentie
PCI DSS verplicht penetratietests voor handelaren die eigen systemen in hun CDE (Cardholder Data Environment) beheren. Het geldt niet voor handelaren met SAQ-A-bereik die geen eigen systemen hebben die kaartgegevens aanraken. Voor alle anderen legt Vereiste 11.4 van PCI DSS v4 vast dat de pen-test minstens jaarlijks en na elke wezenlijke wijziging van de infrastructuur of applicaties binnen het CDE-perimeter moet worden uitgevoerd. De vereiste geldt zowel voor webapplicaties als voor de netwerkinfrastructuur, met verschillende benaderingen voor beide niveaus.
De PCI DSS-pen-test moet een erkende methodologie volgen (OWASP, PTES, NIST SP 800-115 of gelijkwaardig) en moet zowel tests van buiten (externe pen-test) als van binnenuit de perimeter (interne pen-test) omvatten. Hij moet netwerksegmentatiecontroles testen en verifiëren of de CDE effectief geïsoleerd is van de rest van het bedrijfsnetwerk. In PCI DSS v4 worden de vereisten voor de documentatie van bevindingen en herstelplannen aangescherpt: het volstaat niet de test uit te voeren; men moet aantonen dat kritieke geïdentificeerde kwetsbaarheden binnen de voorgeschreven termijnen zijn verholpen.
Wat kost een PCI DSS-pen-test?
De kosten van een PCI DSS-pen-test variëren aanzienlijk op basis van de complexiteit van de infrastructuur en het aantal systemen binnen de perimeter. Voor een middelgrote handelaar met een CDE die webservers, databases, back-officesystemen en netwerkinfrastructuur omvat, liggen de typische kosten van een jaarlijkse pen-test tussen 8.000 en 30.000 €. Voor complexere infrastructuren of handelaren met maatwerkapplicaties kunnen de kosten hoger uitvallen. Daarboven komen herstelkosten voor geïdentificeerde kwetsbaarheden en de kosten van een verificatie-pen-test (retest), die veel acquirers vereisen na het oplossen van kritieke kwetsbaarheden.
Het onderscheid tussen penetratietest en kwetsbaarhedenscan is fundamenteel voor het begrip van de kosten. De kwetsbaarhedenscan is een geautomatiseerd proces dat bekende kwetsbaarheden identificeert via vergelijking met databases zoals CVE. PCI DSS vereist driemaandelijkse kwetsbaarheidsscans door een erkende ASV, met kosten vanaf enkele honderden euro per scan. De pen-test daarentegen is een handmatige activiteit, uitgevoerd door beveiligingsexperts die actief proberen geïdentificeerde kwetsbaarheden te misbruiken om de werkelijke impact te verifiëren. Hij kan niet worden vervangen door geautomatiseerde kwetsbaarheidsscans, ook al vullen beide instrumenten elkaar aan.
Pen-testkosten verlagen door de perimeter te verkleinen
De kosten van een PCI DSS-pen-test zijn direct evenredig met de omvang en complexiteit van de te testen perimeter. Elk systeem in de CDE moet worden opgenomen in het pen-testbereik: meer systemen betekenen meer arbeidsuren en hogere kosten. Een CDE met 10 servers, 3 databases, 2 webapplicaties en een gesegmenteerd netwerk kost veelvouden meer om te testen dan een minimale CDE.
Tokenisatie verkleint de CDE en daarmee het pen-testbereik. Wanneer uw servers nooit PANs verwerken, hoeven zij niet in de PCI DSS-pen-test te worden opgenomen: de test concentreert zich uitsluitend op de componenten die tokens beheren en op de communicatie-interfaces met de PCI Proxy EU-kluis, die al Level-1-gecertificeerd is. De jaarlijkse besparingen op pen-testing alleen al kunnen de kosten van de tokenisatieoplossing overtreffen.
Veelgestelde vragen
Moet een PCI-pen-test worden uitgevoerd door een gecertificeerde aanbieder?
PCI DSS vereist niet dat de pen-test wordt uitgevoerd door een speciaal gecertificeerde aanbieder, anders dan de kwetsbaarhedenscan die door een erkende ASV moet worden uitgevoerd. De PCI SSC vereist dat de pen-test wordt uitgevoerd door gekwalificeerd en onafhankelijk personeel (intern of extern) met aantoonbare offensieve beveiligingskennis. In de praktijk accepteren de meeste acquirers en QSA's pen-tests van beveiligingsbedrijven met erkende certificeringen zoals OSCP, CEH of CREST.
Wat gebeurt er als de pen-test kritieke kwetsbaarheden vindt?
Wanneer de pen-test kritieke kwetsbaarheden identificeert, moet de handelaar deze verhelpen binnen de termijnen van zijn herstelplan en doorgaans een verificatie-pen-test (retest) uitvoeren om te bevestigen dat de kwetsbaarheden effectief zijn opgelost. PCI DSS v4 vereist documentatie van het herstelproces. Wanneer kritieke kwetsbaarheden niet worden verholpen, kan de handelaar de PCI DSS-naleving voor die beoordelingscyclus niet bevestigen, wat kan leiden tot herstelmaatregelen van de acquirers.
Is de pen-test met een verkleinde CDE echt goedkoper?
Ja, aanzienlijk. De kosten van een pen-test zijn afhankelijk van het aantal systemen, applicaties en netwerkinterfaces binnen de perimeter. Een tot weinige systemen verkleinde (of geëlimineerde) CDE verkleint de testkosten evenredig. Een SAQ-A-handelaar heeft geen eigen CDE en is niet onderworpen aan de pen-testvereiste: de besparing bedraagt 100% op dit kostenpost. Een handelaar met een CDE verkleind tot 3-5 systemen betaalt een 5 tot 10 maal goedkopere pen-test dan een handelaar met een volledige CDE van 50 componenten.
Een verkleinde perimeter betekent een snellere, goedkopere pen-test, en vaak zelfs helemaal geen vereiste: tokenisatie is de meest efficiënte investering om de lopende PCI DSS-nalevingskosten te verlagen.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op