PCI DSS

PCI DSS-penetratietests: verplichtingen, kosten en bereikbeperking

28 januari 2025 5 min lezen PCI Proxy EU

PCI DSS-penetratietests zijn een van de zwaarste verplichtingen wat betreft kosten en voorbereiding: een test op een middelgrote CDE kan tussen€5.000 en €20.000kosten, moet ten minste eenmaal per jaar worden uitgevoerd en moet worden uitgevoerd door een gekwalificeerde onafhankelijke partij. Voor een handelaar of KMO die de nalevingskosten wil beheersen, is het verkleinen van het aan penetratietests onderworpen perimeter een strategische prioriteit.

PCI DSS-penetratietests: verplichtingen, kosten en bereikbeperking

Wanneer PCI DSS-penetratietests verplicht zijn en hoe vaak

Vereiste 11.4 van PCI DSS v4.0 vereist dat handelaren ten minste eens per 12 maanden en na elke wezenlijke wijziging aan de infrastructuur of applicaties in het CDE-perimeter een penetratietest uitvoeren. "Wezenlijke wijziging" omvat het toevoegen van nieuwe systemen, wijzigingen in de netwerktopologie, grote updates van betalingsapplicaties en wijzigingen in de toegangscontroles.

De PCI DSS-penetratietest moet zowel het netwerkniveau (netwerk-penetratietest) als het applicatieniveau (applicatie-penetratietest) omvatten, inclusief webinterfaces en blootgestelde API's. De tester moet aanvallen simuleren vanuit zowel buiten (externe penetratietest) als vanuit het netwerk (interne penetratietest). Resultaten moeten worden gedocumenteerd, geïdentificeerde kwetsbaarheden moeten worden verholpen en de herstelactie moet worden geverifieerd met een hertest.

Penetratietest vs. kwetsbaarheidsscan: het is niet hetzelfde

Een veelgemaakte fout is de verwarring tussen een penetratietest en een kwetsbaarheidsscan. Dekwetsbaarheidsscanis een geautomatiseerd proces dat bekende kwetsbaarheden identificeert door vergelijking met CVE-databases: het levert een lijst van mogelijke problemen, maar verifieert niet of deze daadwerkelijk uitbuutbaar zijn. PCI DSS vereist driemaandelijkse kwetsbaarheidsscans door een gecertificeerdeASV(Approved Scanning Vendor).

Depenetratietestis daarentegen een handmatige activiteit, uitgevoerd door een beveiligingsexpert die actief probeert geïdentificeerde kwetsbaarheden te misbruiken. Het verifieert niet alleen of een kwetsbaarheid aanwezig is, maar ook of deze kan worden uitgebuit om toegang te krijgen tot kaartgegevens of zijwaarts door het netwerk te bewegen. De twee hulpmiddelen zijn aanvullend, niet uitwisselbaar, en PCI DSS vereist beide met verschillende frequenties.

Minder CDE, lagere penetratietestkosten

De kosten van een penetratietest zijn direct proportioneel aan de omvang en complexiteit van het te testen perimeter. Elk systeem in de CDE moet in de penetratietestscope worden opgenomen: meer systemen betekenen meer arbeidsuren en hogere kosten. Een CDE met 10 servers, 3 databases, 2 webapplicaties en een gesegmenteerd netwerk kost vele malen meer om te testen dan een minimale CDE.

Tokenisatie verkleint de CDE en daarmee het penetratietestperimeter. Wanneer uw servers nooitPANsverwerken, hoeven ze niet te worden opgenomen in de PCI DSS-penetratietest: de test richt zich alleen op de componenten die tokens beheren en op de communicatie-interfaces met de PCI Proxy EU-kluis, die al Level 1-gecertificeerd is. De jaarlijkse besparingen op penetratietests alleen kunnen de kosten van de tokenisatieoplossing overtreffen.

Veelgestelde vragen

Kan ik hetzelfde penetratietestrapport gebruiken voor PCI en andere frameworks?

Gedeeltelijk. De PCI DSS-penetratietest heeft specifieke scope-, methodologie- en documentatievereisten die expliciet in het rapport moeten worden besproken. Sommige frameworks (zoals ISO 27001 of SOC 2) accepteren gedeelde penetratierapporten als ze dezelfde gebieden afdekken, maar het rapport moet zijn aangepast aan PCI-vereisten en de verificatie van netwerksegmentatie bevatten, wat een PCI-specifiek element is.

Voert de cloudaanbieder de penetratietest voor mij uit?

Nee. De cloudaanbieder (AWS, Azure, GCP) is verantwoordelijk voor de beveiliging van de fysieke infrastructuur en het cloudplatform (gedeeld verantwoordelijkheidsmodel), niet voor de systemen en applicaties die de handelaar op dat platform inzet. De PCI DSS-penetratietest moet de systemen en applicaties van de handelaar omvatten, ook als ze in de cloud draaien. Veel aanbieders vereisen voorafgaande melding voordat penetratietests op hun platform worden uitgevoerd.

Elimineert tokenisatie de penetratietest?

Tokenisatie elimineert de penetratietest niet, maar verkleint hem aanzienlijk. Met een minimale CDE richt de penetratietest zich op de API-interfaces met de kluis en de resterende toegangscontroles. De PCI Proxy EU-kluis is al PCI DSS Level 1-gecertificeerd en voert zijn eigen penetratietestverplichting autonoom uit: u hoeft de kluisinfrastructuur niet in uw testscope op te nemen.

Wilt u het penetratietestperimeter en de bijbehorende nalevingskosten verkleinen?Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.