PCI DSS Penetratationstest
De delar som omfattar penetrationstester i PCI DSS har nu uppradaterats. Och det var på tiden för senast var 2008. Guiden är på 43 sidor och och släpptes endast för några dagar sedan.
Den är indelad i följande områden:
Olika delar vid ett penetrationstest
Förståelse av de olika komponenter som utgör ett penetrationstest och hur detta skiljer sig från en sårbarhetsskanning inklusive omfattning, tillämpning och pentest av nätverk, segmentkontroller och social ingenjörskonst.
Kompetens hos testaren
Fastställande av kvalifikationer hos en penetrationstestare, genom tidigare erfarenheter och certifieringar.
Metoder vid ett intrångstest
Detaljerad information om de tre primära delarna av ett penetrationstest: pre-engagemang, engagemang, och after engagemang.
Rapporteringsguidelines
Vägledning för att utveckla en omfattande penetrationstestrapport som innehåller den information som behövs för att dokumentera testet samt en checklista som kan användas av den organisation eller bedömare att kontrollera om det nödvändiga innehåll ingår.
Övrigt så finns det saker som jag ej hålled med om. Exempelvis tycker jag att rapporten ej bör innehålla kompetensprofiler på den som genomför testet vilket detta dokument anser.
Sen står det inte så mycket om hur data ska hanteras efter ett test. Enbart står det att om användardata dumpas ut och kopieras över till den som utför penetrationstestet så ska säker överskrivning användas (wipe).
Dokumentet kan hämtas i sin helhet här:
