Contexto: O PCI DSS 4.0 foi publicado em março de 2022 com período de transicão até março de 2024, quando a versão 3.2.1 foi formalmente aposentada. A versão 4.0.1 (minor update) foi lancada em junho de 2024. Este artigo reflete os requisitos 4.0/4.0.1.
O Requisito 11 do PCI DSS: visão geral
O Requisito 11 do PCI DSS trata de testes de segurança dos sistemas e redes. Na versão 4.0, foi reorganizado e expandido, com subfuncoes mais específicas para testes de penetracão, varredura de vulnerabilidades e monitoramento de segurança.
Os subfuncoes 11.3 e 11.4 são os que tratam especificamente de testes de penetracão e detecção de ameacas. São os requisitos mais relevantes para organizacoes que contratam pentests de conformidade com o PCI DSS.
O que mudou no requisito 11.3 (Pentest)
11.3.1 - Pentest de infraestrutura de rede
O requisito agora especifica que o pentest deve cobrir a infraestrutura de rede que suporta o CDE (Cardholder Data Environment) e os sistemas conectados. A versão 4.0 adicionou a exigência de que o escopo do teste seja definido e documentado antes da execucão, com justificativa explícita para qualquer sistema excluído do escopo.
Novidade importante: o requisito 11.3.1.1 (best practice até março de 2025, obrigatório a partir de abril de 2025) exige teste de segmentacão de rede sempre que a segmentacão é usada como controle de reducão de escopo. O objetivo é confirmar que a segmentacão é efetiva e que sistemas fora do CDE nao conseguem acessar o CDE direta ou indiretamente.
11.3.2 - Pentest de aplicações
O pentest de aplicacões deve cobrir todas as aplicacões voltadas para o exterior (internet-facing) no CDE e aplicacões internas que processam dados de cartão. A versão 4.0 adicionou cobertura explícita de:
- Vulnerabilidades do OWASP Top 10
- Falhas de lógica de negócio específicas do fluxo de pagamento
- Todas as funcionalidades com acesso a dados de portador de cartão
- APIs de pagamento e integracoes com gateways
Requisitos do testador
O PCI DSS 4.0 é mais explícito sobre qualificacoes do testador. O profissional ou empresa responsável deve ter independência organizacional e demonstrar competência técnica reconhecida. A norma sugere certificacoes como OSCP, CEH ou GPEN, além de experiência documentada em pentests de ambientes PCI.
O que mudou no requisito 11.4 (Detecção de ameacas)
O requisito 11.4 trata de deteccão de intrusão e monitoramento. Na versão 4.0, ficou mais prescritivo sobre a cobertura dos controles de deteccão e sobre o que deve ser monitorado nos pontos de ingresso e egresso do CDE.
O requisito 11.4.7 (novo na versão 4.0) trata especificamente de multi-tenant environments, um requisito relevante para provedores de cloud e SaaS que processam dados de cartão de múltiplos clientes.
Checklist de conformidade para o Requisito 11
| Item | Requisito | Frequência |
|---|---|---|
| Pentest de infraestrutura de rede | 11.3.1 | Anual + apos mudancas significativas |
| Teste de segmentacão de rede | 11.3.1.1 | A cada 6 meses + apos mudancas |
| Pentest de aplicacoes voltadas para internet | 11.3.2 | Anual + apos mudancas significativas |
| Documentacão do escopo e justificativas de exclusão | 11.3.1 / 11.3.2 | Em cada ciclo de teste |
| Cobertura de vulnerabilidades OWASP Top 10 | 11.3.2 | Em cada ciclo de pentest de aplicacão |
Perguntas frequentes
+ O PCI DSS 4.0 exige pentest anual?
Sim. Os requisitos 11.3.1 (pentest de rede) e 11.3.2 (pentest de aplicacão) exigem testes anuais e após mudancas significativas na infraestrutura ou nas aplicacoes do ambiente de dados do portador do cartão (CDE).
+ Quem pode realizar o pentest exigido pelo PCI DSS?
O PCI DSS 4.0 exige que o testador seja independente organizacionalmente e demonstre qualificacão por meio de certificacoes reconhecidas como OSCP, CEH ou experiência documentada. Nao é obrigatório contratar um QSA, mas o fornecedor deve ser especializado.
+ O que é o Penetration Testing Guidance do PCI SSC?
É o documento oficial do PCI Security Standards Council que detalha como conduzir o pentest em conformidade com o PCI DSS. Cobre escopo, metodologia, qualificacoes do testador e documentacão necessária para evidenciar conformidade durante auditorias.
Pentest em conformidade com PCI DSS 4.0
A First Security realiza pentests documentados conforme os requisitos 11.3 e 11.4 do PCI DSS 4.0, com relatórios estruturados para suportar auditorias QSA.
Ver pentest PCI DSS Solicitar orçamento