De Payment Card Industry Data Security Standard (PCI DSS) is het strengste compliance-kader voor organisaties die creditcardbetalingen accepteren, verwerken, opslaan of doorsturen. Er zijn wereldwijd meer dan 3 miljard betaalkaarten in omloop en elk jaar gaan daar miljarden transacties overheen. De bescherming van kaarthoudergegevens is daarom geen vrije keuze, maar een eis van de kaartmaatschappijen Visa, Mastercard, American Express, Discover en JCB.
Een belangrijk onderdeel van PCI DSS is de verplichte jaarlijkse pentest uit Requirement 11.4. Sinds PCI DSS v4.0 van maart 2024 moet u zowel een externe (11.4.3) als een interne (11.4.2) pentest laten uitvoeren op uw Cardholder Data Environment (CDE) en alle aangrenzende systemen. Deze pentests zijn een harde eis voor uw PCI DSS-certificering.
Een PCI DSS pentest (kort voor PCI DSS penetratietest, ook wel Requirement 11.4 compliance test genoemd) onderzoekt het volledige attack surface van uw betaalinfrastructuur. De pentest moet bruikbare kwetsbaarheden aan het licht brengen, de segmentatie controleren en aantonen dat kaarthoudergegevens goed beschermd zijn tegen zowel aanvallers van buitenaf als insiders. Het pentestrapport is verplicht bewijsmateriaal bij een QSA-audit (Qualified Security Assessor) en bij een SAQ-validatie (Self-Assessment Questionnaire).
Een PCI DSS pentest is een compliance-verplichting voor elke organisatie die onder PCI DSS valt. Requirement 11.4 vraagt jaarlijks om een interne (11.4.2) en een externe (11.4.3) pentest, als bewijs dat kaarthoudergegevens goed beschermd zijn. Sinds PCI DSS v4.0 van maart 2024 is ook de segmentatiepentest (11.4.5) verplicht.
Een PCI DSS pentest is verstandig in onder meer deze situaties:
Laat een PCI DSS pentest regelmatig uitvoeren. Voldoet u niet aan de standaard, dan kunt u het recht verliezen om kaartbetalingen te accepteren, en riskeert u boetes en aansprakelijkheid voor frauduleuze transacties na een datalek.
De PCI SSC Penetration Testing Guidance v1.1 stelt eisen aan de pentester die een Requirement 11.4-pentest uitvoert. Voor de pentest zelf is geen QSA (Qualified Security Assessor) nodig, maar de pentester moet wel aan deze eisen voldoen. Anders is het rapport niet bruikbaar bij een QSA-audit of voor uw acquiring bank.
De pentester moet organisatorisch onafhankelijk zijn van het management van de geteste systemen. Hij staat dus los van de interne IT-afdeling en is niet betrokken bij de installatie, het onderhoud of de support van de CDE-systemen. Voert een externe partij de PCI DSS-assessment uit, dan mag diezelfde partij de pentest niet doen als zij eerder bij die systemen betrokken was.
Hackify voldoet hieraan. Wij zijn een externe Nederlandse pentestorganisatie zonder banden met de ontwikkelaars, beheerders of leveranciers van uw CDE. Wij doen niets aan de installatie, het onderhoud of de support van uw CDE-systemen en staan volledig buiten het project. Daardoor kunnen wij u een objectieve, onafhankelijke beoordeling geven.
Certificeringen zeggen iets over het niveau van een pentester. Ze zijn niet verplicht, maar laten wel een gedeelde kennisbasis zien. De PCI SSC guidance noemt als voorbeelden OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), de GIAC-certificeringen GPEN, GWAPT en GXPN, de CREST Penetration Testing Certifications en de CESG CHECK-certificering.
Hackify voldoet hieraan. Al onze pentesters hebben een OSCP-certificering en andere erkende certificaten, zoals OSWE, eWPT en BSCP. Wij blijven investeren in certificering en training, zodat we op de hoogte blijven van de nieuwste aanvalstechnieken en van de PCI DSS-eisen.
Certificeringen alleen zijn niet genoeg. De pentester moet ook aantoonbare praktijkervaring hebben. De PCI SSC guidance wijst op het aantal jaren ervaring, ervaring met vergelijkbare organisaties qua grootte en scope, ervaring met de technologieën in de geteste omgeving, en ervaring met pentesten op netwerk- en applicatieniveau (OWASP Top 10).
Hackify voldoet hieraan. Wij hebben ruime ervaring met pentesten in uiteenlopende omgevingen. Onze pentesters hebben minimaal 5 jaar ervaring en werkten in omgevingen met hoge beschikbaarheidseisen, in grote infrastructuren en met verschillende technologieën. We pentesten zowel op netwerk- als op applicatieniveau, inclusief de OWASP Top 10. Onze pentesters deden responsible disclosures bij grote organisaties en wonnen prijzen bij hackcompetities als Hack010, PVIB CTF, Hackerhotel en HackTheHague.
De pentester moet ervaring hebben met de technologieën in de geteste omgeving, zoals besturingssystemen, hardware, webapplicaties, sterk aangepaste applicaties, netwerkdiensten en protocollen. Heeft de pentester geen directe ervaring met een bepaalde technologie, dan kan ervaring met het beheer, onderhoud, de training of de ontwikkeling ervan ook meetellen.
Hackify voldoet hieraan. Wij hebben ruime ervaring met de technologieën die vaak in een CDE voorkomen: Windows- en Linux-servers, verschillende databasesystemen, webapplicaties en cloudomgevingen. Onze pentesters werken met zowel standaard als complexe applicaties en kunnen ook testen in omgevingen met hoge beschikbaarheidseisen en met beperkingen in bandbreedte en tijd.
De pentester moet de PCI DSS-eisen begrijpen, weten wat de CDE-scope inhoudt en een rapport kunnen opstellen dat aan PCI DSS voldoet. Daar hoort kennis van Requirement 11.4 bij, een goed beeld van wat binnen de scope van een CDE valt, en ervaring met rapportages die QSA’s en acquiring banks accepteren.
Hackify kent de PCI DSS-eisen en de PCI SSC Penetration Testing Guidance. Bij een PCI DSS-opdracht stemmen wij af met uw QSA of acquiring bank, zodat onze rapportage aan alle eisen voldoet, met onder meer CVSS-scores, een scopedocumentatie en bewijs van de exploiteerbaarheid.
Meer over onze aanpak en expertise leest u op de pagina over ons.
Wilt u weten hoe kwetsbaar uw Cardholder Data Environment is? Neem dan vrijblijvend contact met ons op. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag wat de scope van uw CDE is.
Elke CDE is anders, dus stellen wij voor elke opdracht een voorstel op maat op. Een pentest kan binnen 3 weken van start. De uitvoering duurt, afhankelijk van de complexiteit, 1 tot 2 weken voor de externe pentest en 1 tot 2 weken voor de interne. Plan minimaal 2 tot 3 maanden voor uw compliance-deadline, zodat er tijd is om bevindingen op te lossen en de verplichte hertest te doen.
Wij voeren de pentest uit conform PCI DSS v4 requirement 11.4, inclusief de segmentatie-tests die uw QSA verwacht. Vraag een voorstel op maat aan.
Neem contact opOf mail ons direct via [email protected]
PCI DSS vraagt jaarlijks om beide soorten pentests, elk met een eigen invalshoek.
Een externe pentest (Requirement 11.4.3) test vanaf het internet en bootst een aanvaller van buitenaf na:
Een interne pentest (Requirement 11.4.2) test vanaf het interne netwerk en bootst een insider of een gecompromitteerd systeem na:
Voor PCI DSS heeft u beide nodig. Samen testen de interne en externe pentest het volledige attack surface van uw Cardholder Data Environment.