Qual a diferença entre os requisitos 11.3 e 11.4 do PCI DSS 4.0?

O Requisito 11.3 do PCI DSS 4.0 trata de varreduras de vulnerabilidade internas e externas (ASV), que são automatizadas e trimestrais. O Requisito 11.4 trata especificamente de penetration testing, que é manual, anual (ou após mudanças significativas) e deve cobrir tanto o perímetro externo quanto os sistemas internos do ambiente de dados do titular do cartão (CDE).

Toda empresa que aceita cartão precisa de pentest pelo PCI DSS?

O nível de exigência varia conforme o volume de transações (SAQ levels). Merchants de nível 1 (mais de 6 milhões de transações/ano) têm o pentest formal obrigatório. Outros níveis podem usar SAQs simplificados, mas qualquer empresa com sistema de pagamento próprio (não apenas redirect para gateway) deve realizar pentest como boa prática e para atender o Req. 11.4.

PCI DSS 4.0

Pentest para PCI DSS

O PCI DSS 4.0, publicado em 2022 e com vigência plena desde abril de 2024, tornou os requisitos de pentest mais específicos e rigorosos. Os requisitos 11.3 (vulnerabilidades externas) e 11.4 (teste de penetração) são obrigatórios para qualquer organização que processa, armazena ou transmite dados de cartões de pagamento.

Requisitos específicos

O que o PCI DSS 4.0 exige em pentest

11.3.1

Varredura de vulnerabilidades externas trimestral

Varreduras trimestrais de componentes externos do CDE (Cardholder Data Environment) por um ASV (Approved Scanning Vendor). Distinto do pentest, mas frequentemente parte do mesmo programa de segurança.

11.3.2

Varredura interna de vulnerabilidades

Varreduras internas realizadas por pessoal qualificado, com atenção especial à segmentação da rede de cartões em relação às demais redes.

11.4.1

Política de pentest documentada

Metodologia de pentest baseada em práticas reconhecidas (PTES, OWASP, NIST SP 800-115), cobertura de toda a superfície do CDE e definição de quando os testes devem ser realizados.

11.4.2

Pentest externo anual por especialista qualificado

Realizado por especialista interno ou externo com independência organizacional. O padrão exige conhecimento técnico e habilidade para explorar vulnerabilidades, não apenas identificá-las.

11.4.3

Pentest interno anual

Abrange rede interna, sistemas no CDE e conexões com redes externas. Deve incluir validação de segmentação entre CDE e outras redes.

11.4.4

Correção de vulnerabilidades exploráveis

Todas as vulnerabilidades exploráveis devem ser corrigidas e o pentest repetido para confirmar a remediação antes do próximo ciclo de auditoria.

Escopo de pentest

Tipos de pentest para o ambiente de dados do titular do cartão (CDE)

O PCI DSS 4.0 define o CDE como todos os sistemas que armazenam, processam ou transmitem dados do cartão. O pentest deve cobrir todos esses sistemas.

Atenda os requisitos 11.3 e 11.4 do PCI DSS 4.0

Relatório formatado para QSAs com rastreabilidade para cada requisito específico.

Solicitar orçamento

Pentest para PCI DSS

O que o PCI DSS 4.0 exige em pentest

Varredura de vulnerabilidades externas trimestral

Varredura interna de vulnerabilidades

Política de pentest documentada

Pentest externo anual por especialista qualificado

Pentest interno anual

Correção de vulnerabilidades exploráveis

Tipos de pentest para o ambiente de dados do titular do cartão (CDE)

Pentest Web

Pentest API

Pentest de Infraestrutura

Pentest Cloud

Pentest Active Directory

Pentest Mobile

Atenda os requisitos 11.3 e 11.4 do PCI DSS 4.0