Guía de Penetration Testing para PCI 3.0

El objetivo de esta nueva guía "Guía de Penetration Testing para PCI 3.0" [PDF] publicada por PCI Security Standards Council es actualizar y reemplazar los métodos de la guía "Payment Card Industry Data Security Standard (PCI DSS) Requirement 11.3 Penetration Testing" publicada en 2008.

Todas las referencias hechas en el documento son PCI DSS versión 3.0, pero los principios generales y las prácticas que se ofrecen pueden aplicarse a cualquier versión de PCI DSS y otros estándares.

La guía presenta directrices que se pretenden extender a las futuras versiones de del documento. La guía se centra en los siguientes puntos:

• Componentes de las pruebas: comprensión de los diferentes componentes que conforman un Penetration Test y cómo esto difiere de la búsqueda vulnerabilidad incluyendo alcance, verificación y pruebas de ingeniería social.
• Las cualificaciones del tester: determinar si las calificaciones de un tester, interno o externo, a través de su experiencia y certificaciones.
• Metodologías: información relacionada con las tres partes principales de una prueba, el compromiso antes de la contratación, durante y después de la contratación.
• Reportes: guía para el desarrollo de una prueba completa y la información a documentar durante el reporte, así como una lista para verificar si el contenido necesario está incluido.

La información contenida en este documento está concebida como guía complementaria y no sustituye, reemplaza o extienden los requerimientos de PCI DSS.

Cristian de la Redacción de Segu-Info