PCI DSS biztonsági vizsgálatok

Hivatalos ASV vizsgálatok elvégzése

Az ASV (Approved Scanning Vendor) vizsgálat kötelező eleme minden szintű PCI DSS jelentésnek. Ügyfeleink részére hivatalos ASV scanning szolgáltatást biztosítunk stratégiai partnerünk, a Qualys Inc. bevonásával, amely a következőkre terjed ki:
  • Technikai tanácsadás, scanning vizsgálatok elvégzése
  • Negyedéves kötelező ASV scan-ek végrehajtása
  • Hivatalos ASV dokumentum kibocsátása (minden PCI riporthoz kötelező)
  • Ismételt scan-ek elvégzése
ASV scanning vizsgálatot csak hivatalosan akkreditált ASV cég hajthat végre. Az ASV vizsgálatok elvégzése a PCI DSS előírások alapján negyedévente kötelező.


Belső sérülékenységi vizsgálatok elvégzése

A belső sérülékenységi vizsgálat (Internal Vulnerability Scan) minden esetben a belső hálózaton ideiglenesen elhelyezett vizsgálati eszközzel (Scanner Appliance) történik, az ügyfél által előre meghatározott hálózati eszközökre illetve IP címekre. Az IVS vizsgálat az alábbiakra terjed ki:
  • Teljes hálózati topológia felderítése
  • Vezeték nélküli hozzáférési pontok felderítése
  • Idegen eszközök felderítése
  • Az előre meghatározott IP címek scannelése
  • Javaslatok a biztonsági hiányosságok megszüntetésére
A belső sebezhetőségi vizsgálatokat a PCI DSS 11.2.1-es pontja alapján minden QSA assessment-re kötelezett szolgáltatónak és kereskedőnek negyedéves gyakorisággal kötelező végrehajtani, de ehhez ASV cég bevonása nem kötelező.


Web alkalmazások sérülékenységi vizsgálata

A sérülékenységi vizsgálat kiterjed minden olyan webes alkalmazásra, amely nyilvánosan elérhető, és bármilyen módon részt vesz a kártyabirtokosi adatok továbbításában, feldolgozásában vagy tárolásában. A vizsgálat a következő feladatok elvégzésére terjed ki:
  • Web alkalmazások sérülékenységi vizsgálata
    • SQL Injection sebezhetőségek
    • Cross Site Scripting (XSS) hibák
    • Directory traversal
    • Oldal források védelme
    • Szerver oldali script hibák
    • URL átirányítási hibák
  • Web alkalmazás autentikációjának vizsgálata
  • Riport készítése a vizsgálat eredményéről
A webes alkalmazások sérülékenységi vizsgálata a PCI DSS 6.6-os pontja alapján minden QSA assessment-re kötelezett szolgáltató és kereskedő számára kötelezően végrehajtandó, éves gyakorisággal, de ehhez ASV cég bevonása nem kötelező.


Behatolás vizsgálatok elvégzése

A behatolás vizsgálatok célja annak kiderítése, hogy egy adott rendszerben, rendszerelemen fellelhető sebezhetőségeket egy potenciális rosszindulatú támadó kihasználhatja-e a saját céljaira. Azaz, képessé válhat-e arra, hogy illetéktelenül bankkártya adatokat szerezzen, módosítson, megsemmisítsen, vagy az ügyfél informatikai infrastruktúrájában bármilyen kárt tegyen.

A behatolás vizsgálatok magukba foglalják a kártya birtokosi adatkörnyezet publikus hozzáférési pontjainak és belső kritikus rendszerelemeinek hálózati és alkalmazás szintű tesztjét. A vizsgálatok során szakértőink nem hajtanak végre olyan támadásokat, amelyek alapvetően az adott rendszer működésképtelenné tételére vagy üzemzavarára irányulna. A vizsgálatok befejezésével tapasztalataikat, a feltárt veszélyeket riportban foglalják össze az esetleges javítási javaslatokkal együtt, melyet az ügyfél részére átadnak. A behatolás vizsgálatokat partnereink szakértő specialistái végzik el.

A behatolás tesztek végrehajtása a PCI DSS 11.3-as pontja alapján minden QSA assessment-re kötelezett szolgáltató és kereskedő számára kötelezően végrehajtandó, éves gyakorisággal, de ehhez ASV cég bevonása nem kötelező.






Kiemelt tudásbázisaink


Ismerje meg a Qualys integrált biztonsági megoldásait!

Tovább »
_________________________________
Tudjon meg többet a PCI DSS megfelelésről!

Tovább »
Minősítéseink
Kiemelt partnereink





© AperSky Tanácsadó Kft. - 2012.