,

浅谈PCI DSS标准要求的渗透测试

atsec张力

关键词:渗透测试、弱点扫描、CDE、分段控制

本文为atsec和作者技术共享类文章,旨在共同探讨信息安全的相关话题。转载请注明:atsec和作者名称。

根据支付卡产业数据安全标准 PCI DSS(PCI DSS: Payment Card Industry Data Security Standard)11.3 的要求:
11.3 外部和内部渗透测试每年至少执行一次,基础架构或应用程序有任何重大升级或修改后(例如操作系统升级、环境中添加子网络或环境中添加网络服务器)也应执行。此类渗透测试必须包括以下内容:
11.3.a 获取最近的渗透测试的结果并进行检查,以确定该渗透测试至少每年执行一次,而且在环境有任何重大变动后都会执行。确定发现的漏洞都已纠正并且执行重复测试。
11.3.b 确定执行测试的是具有相关资质的内部人员或外部第三方,如有可能,应确保测试方的机构独立性(不是必须为 QSA 或 ASV)。本文基于 PCI DSS 中对渗透测试工作的要求,描述了针对 PCI DSS 标准的渗透测试范围、渗透测试内容、以及渗透测试方法等信息。

阅读全文