PCI DSS öryggisúttektir, innbrotsprófanir og veikleikaskönn

PCI DSS Innbrotspróf (e. Penetration Testing) eru framkvæmd til að uppfylla kröfur sem lýst er í PCI DSS öryggisstöðlum stóru greiðslukortafélaganna. Í slíkum úttektum er áhersla á að finna öryggisgalla og innbrotsleiðir í búnaði og kerfum sem vinna úr og hýsa upplýsingar um greiðslukortaviðskipti.

Reynt er á innbrotsaðferðir og kóða til að meta hvort eiginleg innbrot og óviðkomandi aðgangur að upplýsingaeigum sé mögulegur. Innbrotsprófanir Bithex ehf. reyna bæði á netlag og lausnir á innri og ytri netum, sem og aðrar varnir sem beitt er til að verja upplýsingakerfi fyrirtækja og þjónustuaðila í greiðslukortaviðskiptum.

Ef þú ert að leita eftir ráðgjöf við innleiðingu PCI DSS staðalsins að fullu, eða hluta hans, sjá meira um Ráðgjöf Bithex við öryggisstaðla.

PCI öryggisskönn/veikleikaskönn

Söluaðilar sem fara yfir 20.000 árlegar færslur á neti og/eða heildarfjöldi færsla fer yfir eina milljón þurfa að láta framkvæma veikleikaskönn á ytri netum sínum af viðurkenndum skanaðila. Bithex ehf. sér um framkvæmd viðurkenndra veikleika- og öryggisskanna fyrir sölu- og þjónustuaðila í greiðslukortaviðskiptum.

Veikleikaskönn ganga út á það að prófa reglulega öll ytri upplýsingakerfi fyrirtækis þar sem höndlað er með greiðslukortaupplýsingar. Skimað er fyrir þekktum veikleikum og veikum stillingum sem geta leitt til öryggisgalla í upplýsingakerfum. Atriði eru flokkuð í áhættuþrep og fyrirtæki teljast uppfylla skilyrði um PCI DSS hlítingu ef engar alvarlegar öryggisveilur koma fram.

Aðferðafræði við PCI DSS innbrotsprófanir

PCI DSS innbrotspróf Bithex fylgja staðlaðri aðferðafræði, skv. stöðlum NIST-SP800-115 og OSSTMM þar sem framkvæmd prófa og niðurstöður eru skjalfestar ásamt því að aðstoða viðskiptavini við að loka fyrir öryggisveikleika á fljótlegan og öruggan hátt. Markmið okkar er að hjálpa viðskiptavinum að standast PCI DSS hlítingu að fullu.

Prófanaáætlun og framkvæmd PCI DSS innbrotsprófa byggir á því að prófuð eru ytri og innri upplýsingakerfi sem vinna með og vista greiðslukortaupplýsingar (e. cardholder data).

Hvað þarf að gera fyrir framkvæmd prófa?

Undirbúningur fyrir PCI DSS innbrotsprófanir fer þannig fram:

  • Skilgreining á safni véla og búnaðar með greiðslukortaupplýsingum.
  • Aðferðafræði ákveðin, t.d. hvítbox, svartbox.
  • Netmyndir og upplýsingar um netvarnir eru yfirfarnar.
  • PCI QSA skýrslur eru rýndar.
  • Niðurstöður ytri öryggisskanna eru rýndar.
  • Niðurstöður fyrri innbrotsprófa eru rýndar.
  • Niðurstöður úr áhættumati eru rýndar.
  • Próf með bragðvísi ákveðin eftir stærð og starfssemi fyrirtækis.

Hvað er innifalið í Bithex PCI DSS innbrotsprófum?

Framkvæmd PCI DSS innbrotsprófana byggir á þáttum svo sem:

  • Netskimun til að auðkennda þjónustur og fingraför (e. service fingerprinting).
  • Portskannárásir til að reyna á virkni netbúnaðar, eldveggja og öryggismæra.
  • Skimað fyrir þekktum veikleikum og spillikóða s.s. trojuhestum, bakdyrum og upplýsingaleka.
  • Leit að og keyrsla innrásarkóða og aðferða (e. exploits). Nálgun fer eftir veikleikum.
  • Úttekt á öryggi veflausna (Bithex WSC), að lágmarki sbr. PCI DSS 6.5.1-10.
  • Kóðarýni á veflausnum.
  • Öryggisúttekt á þráðlausum netum og búnaði.
  • Reynt er á aðgengi gagna með mismunandi aðgangsréttindum á staðarnetum fyrirtækja.
  • Reynt er á netaðgengi í húsnæði utan PCI-safns búnaðar.
  • Virkni IDS/IPS kerfa er sannreynd.
  • Staðlaðar skýrslur með prófalýsingu, samantekt og tæknilegum niðurstöðum.
  • Flokkun atriða í áhættuflokka.
  • Próf eru endurtekin eins og þarf til að ná PCI DSS hlítingu.

Verð og verðtilboð

Verð fyrir PCI DSS innbrotsprófanir fer eftir stærð og högun upplýsingakerfa. Hafið samband til að fá nánari upplýsingar og verðtilboð.