O teste de penetração PCI DSS é uma das obrigações mais dispendiosas e menos compreendidas do padrão. Muitos comerciantes confundem o teste de penetração com a análise de vulnerabilidades, subestimam os custos ou não sabem exatamente quando é obrigatório. O Requisito 11.4 do PCI DSS v4 especifica com precisão quem deve realizar o teste de penetração, com que frequência e com que critérios. Reduzir o perímetro a testar através da tokenização é a alavanca mais eficaz para reduzir os custos desta obrigação recorrente.
A obrigação de teste de penetração no PCI DSS: requisitos e frequência
O PCI DSS exige o teste de penetração para os comerciantes que têm sistemas próprios no seu CDE (Cardholder Data Environment). Não se aplica aos comerciantes com um perímetro SAQ A, que não têm sistemas próprios que tratem dados de cartão. Para todos os outros, o Requisito 11.4 do PCI DSS v4 estabelece que o teste de penetração deve ser realizado pelo menos uma vez por ano e após qualquer alteração significativa da infraestrutura ou das aplicações do CDE. O requisito aplica-se tanto às aplicações web como à infraestrutura de rede, com abordagens distintas para ambos os níveis.
O teste de penetração PCI DSS deve seguir uma metodologia reconhecida (OWASP, PTES, NIST SP 800-115 ou equivalente) e incluir tanto testes a partir do exterior (teste de penetração externo) como a partir do interior do perímetro (teste de penetração interno). Deve verificar os controlos de segmentação de rede, comprovando que o CDE está efetivamente isolado do resto da rede empresarial. No PCI DSS v4 foram reforçados os requisitos de documentação de resultados e planos de remediação: não basta realizar o teste, é preciso demonstrar que as vulnerabilidades críticas identificadas foram resolvidas nos prazos estabelecidos.
Quanto custa um teste de penetração PCI DSS na Europa
Os custos de um teste de penetração PCI DSS na Europa variam significativamente em função da complexidade da infraestrutura e do número de sistemas no perímetro. Para um comerciante de dimensão média com um CDE que inclui servidores web, bases de dados, sistemas de back-office e infraestrutura de rede, o custo típico de um teste anual oscila entre 8.000 e 30.000 euros. Para infraestruturas mais complexas ou para comerciantes com aplicações personalizadas, os custos podem ser superiores. A isto acrescentam-se os custos de remediação das vulnerabilidades identificadas e o custo do teste de verificação (retest) que muitos adquirentes exigem após a resolução das vulnerabilidades críticas.
A diferença entre o teste de penetração e a análise de vulnerabilidades é fundamental para compreender os custos. A análise de vulnerabilidades é um processo automatizado que identifica vulnerabilidades conhecidas nos sistemas, comparando as assinaturas de vulnerabilidades com bases de dados como a CVE. O PCI DSS exige uma análise de vulnerabilidades trimestral por parte de um ASV aprovado, com custos a partir de algumas centenas de euros por análise. O teste de penetração é, por sua vez, uma atividade manual realizada por profissionais de segurança que tentam ativamente explorar as vulnerabilidades para verificar o impacto real. Não pode ser substituído pela análise automática de vulnerabilidades, embora ambas as ferramentas se complementem.
Reduzir os custos do teste de penetração reduzindo o perímetro
O custo de um teste de penetração PCI DSS é diretamente proporcional à dimensão do perímetro a testar. Um comerciante com um CDE que inclui 50 sistemas paga muito mais do que um com um CDE de 5 sistemas. A tokenização reduz o CDE transferindo a gestão dos dados de cartão para o fornecedor certificado. O comerciante que não tem sistemas próprios que tratem dados de cartão não tem um CDE e, por isso, não está sujeito ao requisito de teste de penetração (entraria no perímetro SAQ A). O comerciante que tem apenas alguns sistemas no perímetro reduzido paga um teste de penetração proporcionalmente mais económico.
Um exemplo concreto: um comerciante de comércio eletrónico que hoje gere uma aplicação web personalizada com recolha direta de dados de cartão via API, uma base de dados que armazena os PAN tokenizados internamente e infraestrutura de alojamento própria, tem um CDE que pode incluir dezenas de componentes. Após a migração para uma página de pagamento alojada com tokenização externa, esse mesmo comerciante deixa de ter sistemas próprios no CDE. O teste de penetração anual deixa de ser aplicável ao perímetro do comerciante (é o fornecedor que deve realizar o teste de penetração da sua infraestrutura certificada, não o comerciante). A poupança no teste de penetração anual pode, por si só, justificar o investimento em tokenização em menos de dois anos.
Perguntas frequentes
Um teste de penetração PCI deve ser realizado por um fornecedor certificado?
O PCI DSS não exige que o teste de penetração seja realizado por um fornecedor certificado por um organismo específico, ao contrário da análise de vulnerabilidades que deve ser efetuada por um ASV aprovado. O PCI SSC exige que o teste seja executado por pessoal qualificado e independente (interno ou externo) com competências demonstráveis em segurança ofensiva. Na prática, a maioria dos adquirentes e QSA aceita testes de penetração realizados por empresas de segurança com certificações reconhecidas como OSCP, CEH ou CREST. Verifique com o seu adquirente os requisitos específicos.
O que acontece se o teste de penetração detetar vulnerabilidades críticas?
Se o teste de penetração identificar vulnerabilidades críticas, o comerciante deve resolvê-las nos prazos previstos pelo seu plano de remediação e, tipicamente, realizar um teste de verificação (retest) para confirmar que as vulnerabilidades foram efetivamente corrigidas. O PCI DSS v4 exige documentação do processo de remediação. Se as vulnerabilidades críticas não forem resolvidas, o comerciante não pode certificar a conformidade PCI DSS para esse ciclo de avaliação, o que pode acarretar pedidos de remediação por parte do adquirente.
Com um CDE reduzido o teste de penetração é realmente mais económico?
Sim, de forma significativa. O custo de um teste de penetração depende do número de sistemas, aplicações e interfaces de rede no perímetro. Um CDE reduzido a alguns sistemas (ou eliminado) reduz proporcionalmente o custo do teste. Um comerciante SAQ A não tem um CDE próprio e não está sujeito ao requisito de teste de penetração: a poupança é de 100% nesta rubrica. Um comerciante com CDE reduzido a 3-5 sistemas pagará um teste de penetração entre 5 e 10 vezes menos do que um com um CDE completo de 50 componentes.
Um perímetro reduzido significa um teste de penetração mais rápido, menos dispendioso e, frequentemente, desnecessário: a tokenização é o investimento mais eficiente para reduzir os custos recorrentes de conformidade PCI DSS. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos