PCI DSS

Testes de penetração PCI DSS: obrigações, custos e como reduzir o perímetro

28 de janeiro de 2025 5 min de leitura

O teste de penetração PCI DSS é um dos trâmites mais onerosos em termos de custo e preparação: um teste sobre um CDE de complexidade média pode custar entre 5.000 e 20.000 euros, deve ser realizado pelo menos uma vez por ano e deve ser conduzido por uma entidade qualificada e independente. Para um comerciante ou uma PME que pretende controlar os custos de conformidade, reduzir o perímetro sujeito a teste de penetração é uma prioridade estratégica.

Testes de penetração PCI DSS: obrigações, custos e como reduzir o perímetro

Quando é obrigatório o teste de penetração PCI DSS e com que frequência

O Requisito 11.4 do PCI DSS v4.0 exige que os comerciantes realizem um teste de penetração pelo menos uma vez a cada 12 meses e após qualquer alteração significativa da infraestrutura ou das aplicações no perímetro CDE. "Alteração significativa" inclui a integração de novos sistemas, mudanças na topologia de rede, atualizações importantes das aplicações de pagamento e modificações nos controlos de acesso.

O teste de penetração PCI DSS deve cobrir tanto o nível de rede (teste de penetração de rede) como o nível aplicacional (teste de penetração de aplicações), incluindo as interfaces web e as API expostas. O avaliador deve simular ataques tanto a partir do exterior (teste externo) como a partir do interior da rede (teste interno). Os resultados devem estar documentados, as vulnerabilidades identificadas devem ser resolvidas e a remediação deve ser verificada com um novo teste.

Teste de penetração versus análise de vulnerabilidades: não são o mesmo

Um erro habitual é confundir o teste de penetração com a análise de vulnerabilidades. A análise de vulnerabilidades é um processo automatizado que identifica vulnerabilidades conhecidas comparando-as com bases de dados de CVE: fornece uma lista de possíveis problemas, mas não verifica se são realmente exploráveis. O PCI DSS exige uma análise de vulnerabilidades trimestral realizada por um ASV (Approved Scanning Vendor) certificado.

O teste de penetração, por sua vez, é uma atividade manual conduzida por um especialista em segurança que tenta ativamente explorar as vulnerabilidades identificadas. Verifica não apenas se existe uma vulnerabilidade, mas se esta pode ser utilizada para aceder aos dados de cartão ou para se mover lateralmente pela rede. Ambas as ferramentas são complementares, não intermutáveis, e o PCI DSS exige as duas com frequências diferentes.

Menos CDE, menos custos de teste de penetração

O custo de um teste de penetração é diretamente proporcional ao tamanho e à complexidade do perímetro a testar. Cada sistema no CDE deve ser incluído no âmbito do teste: quantos mais sistemas existirem, mais horas de trabalho são necessárias, mais alto é o custo. Um CDE que abrange 10 servidores, 3 bases de dados, 2 aplicações web e uma rede segmentada custará muito mais a testar do que um CDE mínimo.

A tokenização reduz o CDE e, consequentemente, o perímetro do teste de penetração. Se os seus servidores nunca processam PAN, não têm de ser incluídos no teste de penetração PCI DSS: o teste centra-se unicamente nos componentes que gerem tokens e nas interfaces de comunicação com o vault da PCI Proxy EU, que já está certificado Level 1. A poupança anual apenas no teste de penetração pode superar o custo da solução de tokenização.

Perguntas frequentes

Posso usar o mesmo relatório de teste de penetração para PCI e outros frameworks?

Em parte. O teste de penetração PCI DSS tem requisitos específicos de âmbito, metodologia e documentação que devem ser abordados explicitamente no relatório. Alguns frameworks (como ISO 27001 ou SOC 2) aceitam relatórios de teste de penetração partilhados se cobrirem as mesmas áreas, mas o relatório deve ser personalizado para os requisitos PCI e incluir a verificação da segmentação de rede, que é um elemento específico do PCI.

O fornecedor cloud realiza o teste de penetração por mim?

Não. O fornecedor cloud (AWS, Azure, GCP) é responsável pela segurança da infraestrutura física e da plataforma cloud (modelo de responsabilidade partilhada), não pelos sistemas e aplicações que o comerciante implementa nessa plataforma. O teste de penetração PCI DSS deve cobrir os sistemas e aplicações do comerciante, embora sejam executados na cloud. Muitos fornecedores exigem uma notificação prévia antes da realização de testes de penetração na sua plataforma.

A tokenização elimina o teste de penetração?

Não o elimina, mas reduz-o significativamente. Com um CDE mínimo, o teste de penetração centra-se nas interfaces API com o vault e nos controlos de acesso residuais. O vault da PCI Proxy EU já está certificado PCI DSS Level 1 e é submetido a testes de penetração de forma autónoma: não precisa de incluir a infraestrutura do vault no seu âmbito de teste.

Quer reduzir o perímetro do teste de penetração e os custos de conformidade associados? Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.