PCI DSS Öryggisúttektir, Innbrotspróf og Veikleikaskönn

Posted on Posted in Þjónusta(A)

PCI DSS Innbrotspróf (e. Penetration Testing) eru framkvæmd til að uppfylla kröfur sem fram koma í PCI DSS öryggisstöðlum stóru kortafélaganna. Í slíkum úttektum er áherslan á að finna öryggisgalla og innbrotsleiðir í búnað og kerfum sem vinna úr og hýsa upplýsingar um greiðslukort.

Reynt er á innbrotsaðferðir og kóða til að meta hvort eiginleg innbrot og óviðkomandi aðgangur að upplýsingaeigum sé mögulegur. Innbrotspróf Bithex ehf. reyna bæði á netlag og lausnir á innri og ytri netum, sem og aðrar varnir sem beitt er til að verja upplýsingakerfi fyrirtækja í greiðslukortaviðskiptum.

Ef þú ert að leita eftir ráðgjöf við innleiðingu PCI DSS staðalsins eða hluta hans, sjá meira um Ráðgjöf Bithex við öryggisstaðla

PCI Öryggisskönn

Söluaðilar sem fara yfir 20.000 árlegar færslur og/eða heildarfjöldi færsla er yfir ein milljón þurfa að láta framkvæma öryggisskönn á ytri netum sínum af viðurkenndum skanaðila. Bithex ehf. framkvæmir viðurkennd veikleika- og öryggisskönn fyrir sölu- og þjónustuaðila.

Veikleikaskönn ganga út á það að prófa reglulega öll ytri upplýsingakerfi fyrirtækis þar sem höndlað er með kortaupplýsingar. Skimað er eftir þekktum veikleikum og prófaðar eru stillingar sem geta leitt til öryggisgalla. Atriði eru flokkuð í áhættuþrep og fyrirtæki teljast uppfylla skilyrði um PCI DSS hlítingu ef engar alvarlegar öryggisveilur koma fram.

Aðferðafræði við PCI DSS innbrotspróf

PCI DSS innbrotspróf Bithex fylgja staðlaðri aðferðafræði, skv. stöðlum NIST-SP800-115 og OSSTMM þar sem framkvæmd prófa og niðurstöður eru skjalfestar ásamt því að aðstoða viðskiptavini við að loka fyrir öryggisveikleika á fljótlegan og öryggan hátt. Markmið okkar er að hjálpa viðskiptavinum að standast PCI DSS hlítingu að fullu.

Prófanaáætlun og framkvæmd PCI DSS innbrotsprófa byggir á því að prófuð eru ytri og innri upplýsingakerfi sem vinna með og vista greiðslukortaupplýsingar (e. cardholder data).

Hvað þarf að gera fyrir framkvæmd prófa?

Undirbúningur fyrir PCI DSS innbrotsprófanir fer þannig fram:

  • Skilgreining á safni véla og búnaðar með greiðslukortaupplýsingum.
  • Aðferðafræði ákveðin, t.d. hvítbox, svartbox.
  • Netmyndir og upplýsingar um netvarnir eru yfirfarnar.
  • PCI QSA skýrslur eru rýndar.
  • Niðurstöður ytri öryggsskanna eru rýndar.
  • Niðurstöður fyrri innbrotsprófa eru rýndar.
  • Niðurstöður úr áhættumati eru rýndar.
  • Próf með bragðvísi ákveðin eftir stærð og starfssemi fyrirtækis.

Hvað er innifalið í Bithex PCI DSS innbrotsprófum?

Framkvæmd PCI DSS innbrotsprófana byggir á þáttum svo sem:

  • Netskönn til að auðkennda þjónustur og fingraför.
  • Portskanárásir til að reyna á virkni netbúnaðar, eldveggja og öryggismæra.
  • Skimað fyrir þekktum veikleikum og spillikóða s.s. trojuhestum og bakdyrum.
  • Leit að og keyrsla innrásarkóða og aðferða. Nálgun fer eftir veikleikum.
  • Úttekt á öryggi veflausna (Bithex WSC), að lágmarki sbr. PCI DSS 6.5.1-10.
  • Kóðarýni á veflausnum.
  • Öryggisúttekt á þráðlausum netum.
  • Úttekt á öryggi innhringisambanda (dial-in).
  • Reynt er á aðgengi gagna með mismunandi aðgangsrullum á staðarnetum fyrirtækja.
  • Reynt er á netaðgengi í húsnæði utan PCI safns búnaðar.
  • Virkni IDS/IPS kerfa er sannreynd.
  • Staðlaðar skýrslur með prófalýsingu, samantekt og öllum tæknilegum niðurstöðum.
  • Flokkun atriða í áhættuflokka.
  • Próf eru endurtekin eins og þarf til að ná PCI DSS hlítingu.

Verð og verðtilboð

Verð fyrir PCI DSS innbrotsprófanir fer eftir stærð og högun upplýsingakerfa. Hafið samband varðandi nánari upplýsingar og verðtilboð.