PCI DSS biztonsági vizsgálatok

Hivatalos ASV vizsgálatok elvégzése

Az ASV (Approved Scanning Vendor) vizsgálat kötelező eleme minden szintű PCI DSS jelentésnek. Ügyfeleink részére hivatalos ASV scanning szolgáltatást biztosítunk stratégiai partnerünk, a Qualys Inc. bevonásával, amely a következőkre terjed ki:
  • Technikai tanácsadás, scanning vizsgálatok elvégzése
  • Negyedéves kötelező ASV scan-ek végrehajtása
  • Hivatalos ASV dokumentum kibocsátása (minden PCI riporthoz kötelező)
  • Ismételt scan-ek elvégzése
ASV scanning vizsgálatot csak hivatalosan akkreditált ASV cég hajthat végre. Az ASV vizsgálatok elvégzése a PCI DSS előírások alapján negyedévente kötelező.

Belső sérülékenységi vizsgálatok elvégzése

A belső sérülékenységi vizsgálat (Internal Vulnerability Scan) minden esetben a belső hálózaton ideiglenesen elhelyezett vizsgálati eszközzel (Scanner Appliance) történik, az ügyfél által előre meghatározott hálózati eszközökre illetve IP címekre. Az IVS vizsgálat az alábbiakra terjed ki:
  • Teljes hálózati topológia felderítése
  • Vezeték nélküli hozzáférési pontok felderítése
  • Idegen eszközök felderítése
  • Az előre meghatározott IP címek scannelése
  • Javaslatok a biztonsági hiányosságok megszüntetésére
A belső sebezhetőségi vizsgálatokat a PCI DSS 11.2.1-es pontja alapján minden QSA assessment-re kötelezett szolgáltatónak és kereskedőnek negyedéves gyakorisággal kötelező végrehajtani, de ehhez ASV cég bevonása nem kötelező.

Web alkalmazások sérülékenységi vizsgálata

A sérülékenységi vizsgálat kiterjed minden olyan webes alkalmazásra, amely nyilvánosan elérhető, és bármilyen módon részt vesz a kártyabirtokosi adatok továbbításában, feldolgozásában vagy tárolásában. A vizsgálat a következő feladatok elvégzésére terjed ki:
  • Web alkalmazások sérülékenységi vizsgálata
    • SQL Injection sebezhetőségek
    • Cross Site Scripting (XSS) hibák
    • Directory traversal
    • Oldal források védelme
    • Szerver oldali script hibák
    • URL átirányítási hibák
  • Web alkalmazás autentikációjának vizsgálata
  • Riport készítése a vizsgálat eredményéről
A webes alkalmazások sérülékenységi vizsgálata a PCI DSS 6.6-os pontja alapján minden QSA assessment-re kötelezett szolgáltató és kereskedő számára kötelezően végrehajtandó, éves gyakorisággal, de ehhez ASV cég bevonása nem kötelező.

Behatolás vizsgálatok elvégzése

A behatolás vizsgálatok célja annak kiderítése, hogy egy adott rendszerben, rendszerelemen fellelhető sebezhetőségeket egy potenciális rosszindulatú támadó kihasználhatja-e a saját céljaira. Azaz, képessé válhat-e arra, hogy illetéktelenül bankkártya adatokat szerezzen, módosítson, megsemmisítsen, vagy az ügyfél informatikai infrastruktúrájában bármilyen kárt tegyen.

A behatolás vizsgálatok magukba foglalják a kártya birtokosi adatkörnyezet publikus hozzáférési pontjainak és belső kritikus rendszerelemeinek hálózati és alkalmazás szintű tesztjét. A vizsgálatok során szakértőink nem hajtanak végre olyan támadásokat, amelyek alapvetően az adott rendszer működésképtelenné tételére vagy üzemzavarára irányulna. A vizsgálatok befejezésével tapasztalataikat, a feltárt veszélyeket riportban foglalják össze az esetleges javítási javaslatokkal együtt, melyet az ügyfél részére átadnak. A behatolás vizsgálatokat partnereink szakértő specialistái végzik el.

A behatolás tesztek végrehajtása a PCI DSS 11.3-as pontja alapján minden QSA assessment-re kötelezett szolgáltató és kereskedő számára kötelezően végrehajtandó, éves gyakorisággal, de ehhez ASV cég bevonása nem kötelező.






Kiemelt tudásbázisaink

Ismerje meg a Qualys integrált biztonsági megoldásait!

Tovább »
_________________________________
Tudjon meg többet a PCI DSS megfelelésről!

Tovább »
Minősítéseink
Kiemelt partnereink
Főoldal
Cégünkről
Magunkról
Munkatársaink
Referenciáink
Szolgáltatásaink
PCI DSS
PCI 3DS
PCI PIN
PCI DSS Oktatás
Bankkártya
IT biztonság
Tudásbázis
PCI DSS
PCI 3DS
Qualys megoldások
Letöltehető anyagok
Hasznos linkek
Kapcsolat
Kapcsolat
Adatkezelés
© AperSky Tanácsadó Kft.