Para as empresas que lidam com dados de titulares de cartões, a adesão ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (Payment Card Industry Data Security Standards – ou PCI DSS) é fundamental para garantir a conformidade, estabelecer uma política robusta de segurança cibernética para empresas que operam com cartões de débito e crédito, criando uma camada de proteção extra para proteger os dados de pagamento.
Um dos principais requisitos de conformidade com o PCI DSS é a realização regular de testes de intrusão (pentest) e varreduras de vulnerabilidades (vulnerability scanning) – duas medidas proativas comuns para identificar e corrigir pontos fracos de segurança antes que eles possam ser explorados por invasores.
Neste guia de pentest para PCI, vamos nos aprofundar na importância dos testes de intrusão PCI e na varredura de vulnerabilidades para empresas que lidam com pagamentos com cartão. Exploraremos os principais componentes dos pentests para PCI DSS, discutiremos os requisitos e as práticas recomendadas e forneceremos dicas valiosas para garantir uma estratégia robusta e bem-sucedida de varredura de vulnerabilidades e pentesting.
Qual é o público-alvo deste guia de pentest PCI?
Elaboramos este guia com a intenção de ser uma fonte de informações com base em nossa experiência de trabalho em auditorias de teste de intrusão para confirmidade com o PCI DSS.
Esperamos oferecer insights relevantes para os seguintes grupos que podem precisar adquirir serviços de pentest para PCI:
- Profissionais executivos encarregados da segurança de TI em uma empresa (CISO, coordenador de segurança, CIO, CTO);
- Auditores e diretores de conformidade;
- Profissionais de segurança cibernética, incluindo engenheiros, especialistas e analistas de segurança (AppSec, SecOps, InfraSec, etc.);
- Gerentes de engenharia e product owners que estão envolvidos em um projeto de compliance com PCI.
Pentest para PCI – o que é?
O pentest para PCI concentra-se especificamente na avaliação da segurança do ambiente de dados do titular do cartão (Cardholder Data Environment – CDE) de uma empresa, garantindo a conformidade com alguns requisitos chave da norma PCI DSS.
Os principais objetivos do teste de intrusão para PCI incluem:
- Identificar vulnerabilidades exploráveis: Descobrir pontos fracos de segurança no CDE que poderiam ser explorados para obter acesso não autorizado, comprometer sistemas ou vazar dados de pagamento considerados confidenciais.
- Validação dos controles de segurança: Avaliar a eficácia das medidas de segurança implementadas e verificar se elas estão funcionando como previsto para proteger os dados do titular do cartão.
- Manter a conformidade: Demonstrar a adesão aos requisitos PCI DSS e demonstrar o compromisso de manter uma posição robusta de segurança cibernética.
- Priorização de riscos: Avaliar a severidade das vulnerabilidades identificadas e priorizar os esforços de correção com base no potencial impacto sobre a segurança da organização.
- Melhoria contínua: Avaliar regularmente a postura de segurança do CDE para se manter à frente das ameaças em evolução e adaptar as estratégias de defesa para se proteger melhor contra ataques futuros.
Principais componentes do pentest para PCI
Definição do escopo
Antes de iniciar um pentest PCI, é essencial definir o escopo do teste, que inclui a identificação de todos os sistemas, redes e aplicativos relevantes que armazenam, processam ou transmitem dados de cartão.
O ambiente de dados do titular do cartão (CDE) compreende todos os componentes que interagem direta ou indiretamente com os dados do titular do cartão, incluindo servidores, bancos de dados, aplicativos, APIs, dispositivos de rede e pontos externos.
Recomenda-se criar um inventário de todos os sistemas relevantes ao PCI e garantir que o escopo do seu teste de intrusão PCI DSS abranja todo o CDE.
Testes de intrusão externo e interno (redes e aplicativos)
Os testes de intrusão PCI DSS devem avaliar as superfícies de ataque externas e internas para identificar possíveis vulnerabilidades e validar os controles de segurança, seguindo as orientações de pentesting descritas pelo PCI Council.
Os pentests externos têm como alvo sistemas e serviços no perímetro que são acessíveis pela Internet, como redes públicas, servidores, aplicativos da web e APIs. Esse tipo de teste ajuda a descobrir os riscos de segurança que poderiam ser explorados por invasores externos para obter acesso não autorizado aos dados do titular do cartão ou interromper os serviços.
Os pentests internos, como o nome indica, concentram-se na rede interna da organização, nos aplicativos e nos sistemas críticos no escopo do CDE. Esse teste tem como objetivo identificar falhas que possam ser exploradas por pessoas internas e agentes de ameaças que tenham violado o perímetro externo.
Teste de segmentação de rede
O teste de segmentação é um componente essencial do PCI DSS, visando especificamente às empresas que implementam a segmentação para isolar seus CDEs de outras redes. O principal objetivo dos testes de segmentação é verificar a eficácia dos controles implementados, garantindo que sejam suficientemente robustos para aplicar medidas que impeçam o acesso não autorizado ao CDE a partir de outras redes menos protegidas.
Os testes de segmentação devem ser executados duas vezes por ano. O PCI Security Council criou uma diretriz detalhada sobre segmentação que é referência autorizada a respeito do tópico.
Documentação e relatórios
A manutenção de documentação e relatórios detalhados da avaliação é fundamental para demonstrar a conformidade com o PCI DSS. O relatório do teste de intrusão deve incluir informações claras sobre o escopo do teste, a metodologia do teste de intrusão, detalhes sobre todas as vulnerabilidades identificadas, recomendações de correção e resultados de novos testes. As organizações devem manter esses relatórios como evidência de conformidade durante as auditorias do PCI DSS.
Em nossa experiência, alguns auditores também podem solicitar que o relatório contenha a data e a hora exatas em que uma vulnerabilidade foi identificada e explorada, bem como as mesmas informações sobre quando ela foi marcada como corrigida após o novo teste.
Compreendendo os requisitos de teste de intrusão PCI
O Requisito 11 do PCI DSS 3.2.1 (Regularly test security systems and processes) é o que trata especificamente dos testes de intrusão no ambiente CDE para organizações que lidam com dados do titular do cartão.
Para fins de pentesting, é importante abordar os seguintes subitens do Requisito 11:
O Requisito 11.3 PCI é a principal base para os testes de intrusão dentro do PCI DSS 3.2.1, garantindo que as organizações protejam seus CDEs por meio de avaliações de segurança abrangentes e regulares. A norma diz que os testes de segurança devem ser realizados com base em metodologias reconhecidas do setor – ela menciona explicitamente o NIST SP 800-115, mas outras também se aplicam, como OSSTMM, OWASP e PTES, de acordo com o item 4.4 do Penetration Testing Guidance também do PCI Council.
O requisito é dividido em três componentes principais: teste de intrusão na rede externa, teste de intrusão interna e controles de segmentação.
Em primeiro lugar, o Requisito 11.3.1 concentra-se em testes de intrusão de rede externa, enfatizando que as organizações devem realizar testes em seus servidores e redes voltados para a Internet para identificar vulnerabilidades que possam ser exploradas por adversários externos. Ao realizar um pentest de rede anual, as empresas tem a oportunidade de descobrir os pontos fracos da segurança e implementar medidas adequadas para proteger os dados confidenciais de cartão.
Em seguida, o Requisito 11.3.2 refere-se a pentests internos, exigindo a avaliação de sistemas, redes e aplicativos internos quanto a possíveis falhas de segurança. O teste de intrusão interna desempenha um papel fundamental na descoberta de riscos que podem não ser visíveis do lado de fora, mas que poderiam ser explorados por um insider ou por um invasor que já tenha obtido acesso à rede interna. Ele precisa ser feito pelo menos uma vez por ano.
O Requisito 11.3.3 aborda o reteste e enfatiza a necessidade de correção em tempo hábil.
Por fim, o Requisito 11.3.4 trata da necessidade de testar os controles de segmentação como método para isolar seu CDE de outras redes. Esse requisito garante que os controles de isolamento de rede estejam funcionando de forma eficaz e que não haja acesso não autorizado ao CDE.
Outros requisitos relevantes para a segurança do item 11 são os seguintes:
O Requisito 11.1 visa garantir a segurança das redes sem fio de uma organização dentro ou conectadas ao ambiente de dados do titular do cartão. O foco principal são os pontos de acesso não autorizados (rogue access points), e as varreduras devem ser realizadas trimestralmente.
O Requisito 11.2 define regras para a execução de varreduras de vulnerabilidade de redes internas e externas pelo menos trimestralmente e após qualquer alteração significativa na rede. Há regras em que é necessário usar obrigatoriamente (ou quando não for obrigatório) um fornecedor de varredura aprovado pelo PCI SSC para realizar essas varreduras.
Há também o Requisito 6 (Develop and maintain secure systems and applications) do PCI DSS, que têm igual importância em relação aos testes de segurança, especialmente os requisitos 6.5.1 a 6.5.6 (com base em práticas de desenvolvimento seguro) e 6.6 (testes).
O requisito 6.6 menciona explicitamente que as empresas que buscam conformidade com o PCI DSS devem realizar avaliações de segurança de aplicativos web voltados para o público (e APIs, de acordo com 4.2.1 Application Layer) usando testes manuais ou ferramentas automatizadas para verificação de vulnerabilidades de aplicativos pelo menos uma vez por ano e após qualquer alteração relevante.
O OWASP Top 10 e o OWASP ASVS são as metodologias mais populares para teste da camada de aplicativos e segurança de aplicativos/APIs da web, sendo, sem dúvida, a metodologia de teste de intrusão mais relevante para este item.
Uma observação importante acima é que as varreduras de vulnerabilidade no Requisito 11.2 não são as mesmas que as avaliações necessárias para atender ao 6.6.
No PCI 4.0, o requisito para testes de segurança de aplicativos web foi alterado para o Requisito 6.4 (Public-facing web applications are protected against attacks).
Criamos um infográfico para ilustrar visualmente esses requisitos:
Os pentests devem ser realizados pelo menos uma vez por ano e após alterações relevantes. Os testes de segmentação devem ser realizados duas vezes por ano.
Frequência do pentest para PCI DSS
De acordo com os padrões de segurança de dados estabelecidos pelo PCI, para alcançar conformidade com a norma as empresas devem realizar testes de intrusão pelo menos uma vez por ano ou sempre que forem feitas alterações significativas em sua infraestrutura, como implementações de novos sistemas, atualizações importantes ou modificações na topologia da rede.
A realização de pentests regulares garante que as vulnerabilidades de segurança provocadas por mudanças no ambiente sejam identificadas e tratadas prontamente, mantendo uma postura de segurança contínua.
Processo de correção e reteste
Após a conclusão do pentest, as empresas devem priorizar a correção dos problemas de segurança identificados com base na gravidade e no possível impacto no CDE. Depois que as vulnerabilidades forem resolvidas, uma verificação deve ser realizada para validar a eficácia das medidas de segurança implementadas e garantir que os problemas tenham sido corrigidos ou atenuados com sucesso.
Entre em contato com nossos especialistas em segurança digitalQuer saber mais sobre o assunto?
Qual é a diferença entre um pentest PCI e um pentest regular?
Um pentest de PCI e um teste de intrusão “comum” compartilham muitas semelhanças em termos de metodologia e objetivos, mas têm diferenças importantes que precisam ser levadas em conta. Embora tanto os testes de intrusão PCI quanto os pentests mais normais tenham como objetivo identificar problemas e melhorar a postura de segurança de uma empresa, a principal diferença está no escopo e no foco dos testes, bem como na frequência obrigatória do pentest.
As diferenças mais importantes entre um teste de intrusão PCI DSS e um teste de intrusão regular são explicadas em detalhes a seguir:
Escopo e foco
- Pentest PCI: Um pentest PCI concentra-se especificamente no ambiente de dados do titular do cartão (CDE) em uma empresa, o que inclui todos os sistemas, redes e aplicativos que armazenam, processam ou transmitem dados do titular do cartão.
- Teste de intrusão comum: Um teste de intrusão regular pode ter um escopo mais amplo, abrangendo toda a infraestrutura de TI da empresa, incluindo redes, aplicativos, sistemas e até mesmo o elemento humano. O objetivo principal desse tipo de teste é identificar vulnerabilidades e pontos fracos de segurança em toda a organização, independentemente de estarem ou não relacionados aos dados do titular do cartão.
Requisitos de compliance
- Pentest PCI: O pentest é um requisito obrigatório para que as organizações que lidam com dados do titular do cartão estejam em conformidade com o PCI DSS. Os resultados desses testes são frequentemente usados como evidência de conformidade durante as avaliações PCI.
- Teste de intrusão comum: Embora o teste de intrusão comum seja considerado uma prática recomendada em segurança cibernética, ele pode não ser um requisito de conformidade obrigatório, como é o caso do PCI DSS. Várias normas regulatórias e padrões do setor, como SOC 2, GDPR, HIPAA e ISO 27001, sugerem que as organizações realizem testes de intrusão regulares como parte de seu programa geral de segurança, mas eles não são obrigatórios.
Correção e relatórios
- Pentest PCI: Os processos de correção e geração de relatórios para os testes de intrusão PCI estão mais concentrados em abordar as vulnerabilidades que podem afetar os dados do titular do cartão e demonstrar conformidade com os requisitos PCI DSS. Normalmente, é necessário realizar um “reteste” para validar a eficácia das medidas de segurança implementadas e garantir que as vulnerabilidades tenham sido atenuadas com sucesso.
- Teste de intrusão comum: Os processos de correção e geração de relatórios para testes de intrusão comuns envolvem a abordagem de uma gama mais ampla de vulnerabilidades e pontos fracos de segurança. O reteste é incentivado, mas pode não ser especificamente exigido para conformidade.
Frequência do teste de intrusão
- Pentest PCI: De acordo com o Requisito 11.3, as empresas devem realizar testes de intrusão pelo menos anualmente ou após qualquer alteração significativa na infraestrutura ou nos aplicativos.
- Teste de invasão comum: Como não há requisitos obrigatórios, a frequência depende do grau de risco de sua organização. No entanto, as organizações que têm práticas maduras de teste de segurança realizam testes de intrusão com uma frequência de pelo menos uma vez a cada 12 meses, mas comumente com mais frequência.
Principais diferenças entre o PCI DSS 4.0 e o PCI DSS 3.2.1
Os requisitos de pentest descritos pelo PCI 4.0 permanecem praticamente inalterados em comparação com o 3.2.1. Na versão mais recente do padrão, houve alterações na ordem dos itens, como o Requisito 11.3 do 3.2.1, que agora está se tornando o Requisito 11.4 do 4.0.
Houve mudanças importantes na forma como os requisitos são comunicados, o que aumentou a clareza do processo e diminuiu a probabilidade de interpretações ambíguas.
Por exemplo, agora está escrito: “Testes de dentro da rede (ou ‘testes de intrusão internos’) significam testes tanto de dentro do CDE quanto para dentro do CDE a partir de redes internas confiáveis e não confiáveis” e “Testes de fora da rede (ou ‘testes de intrusão externos’) significam testes do perímetro externo exposto de redes confiáveis e sistemas críticos conectados ou acessíveis a infraestruturas de rede pública”, para definir adequadamente o que o PCI quer dizer quando fala em pentest interno e externo e de que ponto de vista ele deve ser executado.
Outro item que vale a pena mencionar é “11.3.1.2 As varreduras de vulnerabilidades internas são realizadas por meio de varredura autenticada” – antes disso, não havia nenhum requisito explícito para testes automatizados de gray box ou que as varreduras precisassem ser autenticadas; agora isso garante que a varredura de vulnerabilidades cubra uma superfície maior.
Em nossa opinião, a introdução mais significativa na versão 4.0 foi “11.6 Alterações não autorizadas em páginas de pagamento são detectadas e respondidas” (Unauthorized changes on payment pages are detected and responded to). Esse item foi introduzido para evitar a adulteração de código em plataformas de comércio eletrônico e combater o skimming baseado em JavaScript conhecido como ataques Magecart, como o que afetou a British Airways em 2020.
Ferramentas comumente usadas nos pentests PCI
Nos testes de intrusão PCI DSS, uma ampla gama de ferramentas é empregada para avaliar a segurança do ambiente de CDE e identificar possíveis vulnerabilidades que podem ser exploradas por invasores.
Essas ferramentas desempenham um papel fundamental na avaliação de vários aspectos da postura de segurança de uma organização, inclusive configurações de rede, aplicativos da web, redes wireless e vulnerabilidades do sistema.
A escolha das ferramentas pode variar de acordo com as necessidades e os objetivos específicos do teste de intrusão, mas algumas ferramentas comumente usadas em um pentest PCI incluem:
- Nmap: Para varredura de rede e descoberta de portas e serviços abertos, bem como verificações de segmentação.
- Nessus: para automatizar o processo de identificação de vulnerabilidades conhecidas em sistemas, redes e aplicativos. Também pode ser usada para varreduras de ASV, pois pode realizar varreduras de vulnerabilidades PCI.
- Metasploit: Um exploit framework abrangente para desenvolver e executar exploração contra vulnerabilidades identificadas.
- Burp Suite: Uma ferramenta avançada de teste de segurança de aplicativos web com recursos como proxy de interceptação, varredura de vulnerabilidades de aplicações, etc.
- Wireshark: Um equipamento de análise de protocolo de rede para capturar e analisar o tráfego de rede, fornecendo informações valiosas sobre possíveis vulnerabilidades e vetores de ataque. Particularmente útil para verificar se os dados do cartão estão passando pela rede sem criptografia.
- Ferramenta de scrapping de memória: Uma ferramenta de scrapping de memória RAM baseada em regex pode ser útil em testes de segurança PCI para identificar dados de cartão de crédito armazenados temporariamente na memória de um servidor localizado em CDE, uma vez que eles são comprometidos pelo pentester.
A lista acima é bem mais extensa e várias outras ferramentas podem ser usadas, dependendo das necessidades da avaliação.
Contratação de uma empresa de pentest qualificada – como selecionar o melhor fornecedor de testes de intrusão
Para garantir a precisão e a confiabilidade dos resultados dos testes de intrusão, as organizações devem contratar um fornecedor qualificado para pentests com experiência e conhecimento relevantes na área.
Empresas geralmente optam por trabalhar com parceiros externos de testes de intrusão, e é recomendável contratar um fornecedor de testes de intrusão qualificado ou uma organização com profissionais certificados que estejam familiarizados com os requisitos PCI DSS e com as práticas recomendadas do setor.
Para ajudar empresas a compreenderem as nuances da seleção de um provedor de testes de penetração, criamos um guia completo com insights para a escolha certa da empresa de pentest para suas necessidades.
Como podemos ajudar nos requisitos de pentest PCI da sua empresa?
Na Blaze, temos nossas raízes no fornecimento de serviços de pentest para o setor financeiro e os setores bancário e de pagamentos, o que significa que realizamos dezenas de avaliações de testes de intrusão PCI ao longo dos anos.
Nossa equipe de pentesters são experientes e certificados, e conhecem bem as ameaças emergentes mais recentes e as práticas recomendadas do setor e sabe qual é a abordagem e o tipo de pentest mais adequado para garantir uma avaliação de segurança abrangente do seu ambiente de dados do titular do cartão.
Se você estiver pronto para investir na segurança e na conformidade de sua empresa e estiver procurando um parceiro de pentest que tenha experiência relevante na realização de avaliações para PCI DSS, convidamos você a entrar em contato com nossos especialistas para discutir como podemos beneficiar a segurança cibernética da sua empresa.
Conclusão
Neste guia, discutimos a importância dos pentests de PCI, seus principais componentes, requisitos, práticas recomendadas e dicas para um teste bem-sucedido, além de como encontrar o fornecedor certo para seu pentest PCI. Ao compreender e implementar essas práticas, as organizações podem gerenciar com eficácia seus riscos de segurança cibernética, proteger os dados do titular do cartão e manter a conformidade com os padrões de segurança PCI.
É fundamental reconhecer a função essencial que os testes de intrusão PCI DSS desempenham na estratégia de defesa da segurança cibernética de todos os comerciantes e empresas. Esses testes não só são essenciais para atender e manter os principais padrões de segurança PCI, como também os Requisitos 11.3 e 6.6 na PCI 3.2.1 e os Requisitos 11.4 e 6.4 na PCI 4.0. Além disso, preparam o caminho para uma mitigação abrangente dos riscos de segurança cibernética e fornecem uma proteção robusta dos dados do titular do cartão.
A realização de testes de intrusão, seja um pentest padrão ou um teste de intrusão de aplicativo mais focado, é um requisito anual do PCI DSS. No entanto, ele também precisa ser realizado após cada mudança importante em redes, servidores e sistemas. Ao realizar esses testes, as empresas podem identificar proativamente as possíveis vulnerabilidades e resolvê-las, fortalecendo assim suas defesas cibernéticas.
As complexidades técnicas que envolvem os testes de intrusão PCI DSS exigem um entendimento abrangente, uma aplicação cuidadosa e, o mais importante, a seleção de um fornecedor capaz e experiente para seu pentest PCI. Essa escolha de parceiro é crucial não apenas para garantir o compliance, mas também para o fortalecimento bem-sucedido da infraestrutura geral de segurança cibernética da sua organização.
Incentivamos as empresas que lidam com dados de cartões a priorizarem testes de intrusão regulares como um componente essencial de sua estratégia de segurança cibernética.
PERGUNTAS FREQUENTES
A PCI exige testes de intrusão?
Sim, a PCI exige testes de intrusão obrigatórios de acordo com os Requisitos 11.3 e 6.6 da PCI 3.2.1 e os Requisitos 11.4 e 6.4 da PCI 4.0.
Com que frequência a PCI exige testes de intrusão?
Os testes de penetração da PCI são obrigatórios uma vez por ano ou a cada grande mudança em redes, servidores e sistemas.
Quando o PCI DSS 4.0 entra em vigor?
O PCI DSS 4.0 entrará em vigor em 31 de março de 2024, e as organizações terão até 31 de março de 2025 para implementar gradualmente os novos requisitos.