PCI DSS - استاندارد بین المللی امنیت اطلاعات در زمینه کارت های پرداخت. راه حل ساخت و نگهداری شبکه ها و سیستم های امن

سازمان‌های ذخیره‌سازی، پردازش و انتقال داده‌های کارت پرداخت سیستم‌های پرداخت بین‌المللی (Visa، MasterCard، American Express، Discover، JCB) ملزم به رعایت الزامات استاندارد PCI DSS هستند. سیستم‌های پرداخت، تعداد دفعات و شکل تایید انطباق با الزامات استاندارد و همچنین تحریم‌های مربوط به عدم تطابق و به خطر افتادن داده‌های کارت پرداخت را تعیین کرده‌اند.

برای کمک به سازمان‌ها در برآوردن الزامات استاندارد، Informzashita با در نظر گرفتن وظایف و ویژگی‌های مشتری، گزینه‌های مختلفی را برای خدمات انطباق با PCI DSS ارائه می‌کند. از جمله:

• سازگاری PCI DSS.این سرویس شامل تطبیق سطح امنیت اطلاعات شرکت با الزامات استاندارد PCI DSS از ابتدا می باشد. شامل می شود:
• ممیزی اولیه با توسعه یک برنامه انطباق؛
• به طور مستقیم مرحله کاهش؛
• ممیزی صدور گواهینامه نهایی
• حفظ انطباق PCI DSS.این سرویس شامل کمک به سازمان‌هایی است که قبلاً گواهی انطباق با PCI DSS دارند و علاقه‌مند به تأیید بعدی آن هستند.
• ممیزی گواهینامه PCI DSS.این سرویس برای سازمان هایی در نظر گرفته شده است که به طور مستقل اقدامات حفاظتی مورد نیاز PCI DSS را اجرا کرده اند و فقط به ارزیابی نهایی انطباق علاقه مند هستند.
• صدور گواهینامه نرم افزار بر اساس الزامات استاندارد PA-DSS.در سال 2008، شورای امنیت صنعت کارت پرداخت (PCI SSC) یک استاندارد امنیتی برنامه پرداخت - استاندارد امنیت داده برنامه کاربردی پرداخت (PA-DSS) را با هدف حمایت از انطباق با الزامات استاندارد PCI DSS تصویب کرد. با توجه به الزامات سیستم‌های پرداخت VISA و MasterCard، تمام برنامه‌های کاربردی «جعبه‌دار» که در پردازش تراکنش‌های مجوز یا پرداخت روی کارت‌های پرداخت شرکت دارند، باید طبق استاندارد PA-DSS تأیید شوند.
  سیستم‌های پرداخت VISA و MasterCard مهلتی را برای تکمیل انتقال نمایندگان و شرکت‌های تجاری و شبکه خدماتی به استفاده از برنامه‌های کاربردی تایید شده تعیین کرده‌اند - 1 ژوئیه 2012.
  صدور گواهینامه PA-DSS برنامه ها فقط توسط حسابرسی که دارای نام PA-QSA است انجام می شود. Informzashita اولین شرکت در روسیه است که این وضعیت را دارد.
  متخصصان Informzashita از سال 2009 ممیزی را برای انطباق با استاندارد PA-DSS انجام داده اند. در طول کار خود، ما بیش از 10 برنامه کاربردی را تأیید کرده ایم: نرم افزار پردازش، برنامه های کاربردی پایانه پرداخت و تجارت الکترونیک. تجربه انباشته شده به ما امکان می دهد تا طرح بهینه را برای توسعه دهنده برای انجام کارهای مقدماتی و صدور گواهینامه تعیین کنیم. اجرای الزامات برای اطمینان از توسعه و نگهداری ایمن نرم افزار با در نظر گرفتن فرآیندهای موجود انجام می شود. سطح اسناد نهایی و رویه تثبیت شده حداقل دوره را برای گذراندن روش کنترل کیفیت اجباری توسط PCI SSC تضمین می کند.
• انطباق نرم افزار با الزامات PA-DSS را حفظ کنید.تغییرات ایجاد شده در برنامه‌های پرداخت دارای گواهی PA-DSS قابل بررسی است و در برخی موارد منجر به تأیید مجدد اجباری می‌شود. دامنه و اسناد گزارشی گواهی انجام شده به نوع تغییرات بستگی دارد.
  حسابرسان خبره Informzashita در توسعه سیاست‌های انتشار با در نظر گرفتن الزامات استاندارد و واقعیت‌های فروشنده، صدور گواهینامه مجدد برای انواع تغییرات تعریف شده توسط استاندارد، و هماهنگی اسناد نهایی با PCI SSC، تجربه دارند.
  رویکرد اطمینان از صدور گواهینامه مجدد بر اساس خواسته های توسعه دهنده شکل می گیرد و با رویه موجود در انتشار به روز رسانی ها از سوی توسعه دهنده برنامه هدایت می شود.
• اسکن PCI ASV، اسکن برنامه های وب.شرکت Informzashita تامین کننده گواهینامه (گواهینامه شماره 4159-01-08) اسکن PCI ASV است. اسکن PCI ASV مطابقت با بند 11.2.2 استاندارد PCI DSS را تضمین می کند. علاوه بر انطباق رسمی با استاندارد، اسکن PCI ASV به شما امکان می دهد امنیت محیط شبکه خارجی خود را ارزیابی کنید، آسیب پذیری ها و پیکربندی های نادرست را شناسایی کنید.
• تست نفوذ جامع با توجه به الزامات PCI DSS.این سرویس شامل ارزیابی عملی از امکان دسترسی غیرمجاز به داده های کارت پرداخت یا منابع شبکه پردازش داده های کارت پرداخت است (الزام بند 11.3 PCI DSS).
• توسعه برنامه ای برای انطباق تاجر با الزامات PCI DSS برای خرید بانک ها.با توجه به الزامات سیستم های پرداخت بین المللی، بانک های خریدار موظفند اطمینان حاصل کنند که بازرگانان خود با الزامات استاندارد PCI DSS مطابقت دارند. به عنوان بخشی از این سرویس، برنامه ای برای نظارت بر انطباق بازرگانان با الزامات استاندارد PCI DSS بر اساس برنامه های امنیتی سیستم های پرداخت بین المللی امنیت اطلاعات حساب و حفاظت از داده های سایت در حال توسعه است.
• کمک در تکمیل برگه خود ارزیابی PCI DSS.این سرویس برای بازرگانان و ارائه دهندگان خدمات با حجم معاملات کم در نظر گرفته شده است. به عنوان بخشی از این سرویس، Informzashita در انجام ارزیابی های انطباق با پر کردن برگه خود ارزیابی PCI DSS کمک می کند.

این کار به ما امکان می دهد الزامات استاندارد را برآورده کنیم، خطرات به خطر افتادن داده های کارت پرداخت را کاهش دهیم و از تحریم های سیستم های پرداخت بین المللی جلوگیری کنیم.

شرکت Informzashchita اولین شرکتی در فدراسیون روسیه بود که وضعیت های QSA و ASV را دریافت کرد و حق انجام ممیزی های گواهینامه PCI DSS و اسکن های خارجی ASV را داد. از نظر تعداد حسابرسان تایید شده QSA، Informzashita از سایر شرکت های روسی پیشی می گیرد. بنابراین، یک متخصص شخصی با هر مشتری کار می کند. این شرکت با موفقیت کنترل کیفیت گزارشات را توسط PCI SSC گذراند که کیفیت بالای خدمات ارائه شده به مشتریان را تایید می کند. از سال 2006، این شرکت بیش از 90 پروژه را برای بانک ها، مراکز پردازش مستقل، ارائه دهندگان خدمات، مراکز داده و بازرگانان برای دستیابی به انطباق و گواهینامه PCI DSS تکمیل کرده است.

PCI DSS (استاندارد امنیت داده‌های صنعت کارت پرداخت) سندی است که قوانینی را برای تضمین امنیت اطلاعات دارندگان کارت پرداخت در طول پردازش، انتقال یا ذخیره‌سازی آن شرح می‌دهد.

استاندارد PCI DSS توسط شورای استانداردهای امنیتی صنعت کارت پرداخت (PCI SSC) ایجاد شده است. PCI SSC توسط سیستم های پرداخت بین المللی پیشرو - Visa، MasterCard، American Express، JCB، Discover تاسیس شد. PCI SSC اطلاعات مربوط به فعالیت های خود را در وب سایت خود منتشر می کند.

الزامات استاندارد PCI DSS برای سازمان هایی اعمال می شود که اطلاعات مربوط به دارندگان کارت پرداخت را پردازش می کنند. اگر سازمانی اطلاعات حداقل یک تراکنش کارت یا صاحب کارت پرداخت را در طول سال ذخیره، پردازش یا ارسال کند، باید با الزامات استاندارد PCI DSS مطابقت داشته باشد. نمونه‌هایی از این سازمان‌ها شرکت‌های تجاری و خدماتی (فروشگاه‌های خرده‌فروشی و خدمات تجارت الکترونیک) و همچنین ارائه‌دهندگان خدمات مرتبط با پردازش، ذخیره و انتقال اطلاعات کارت (مراکز پردازش، درگاه‌های پرداخت، مراکز تماس، رسانه‌های ذخیره‌سازی پشتیبان، سازمان‌ها) هستند. ، درگیر شخصی سازی کارت و غیره).

با تطابق زیرساخت اطلاعاتی خود با الزامات PCI DSS، سطح امنیت محیط پردازش داده کارت خود را افزایش خواهید داد. با انجام این کار، خطر زیان های مالی ناشی از حوادث امنیت اطلاعات را کاهش می دهید و الزامات سیستم های پرداخت بین المللی برای رعایت این استاندارد را رعایت می کنید.

هدف اصلی انطباق با الزامات استاندارد PCI DSS افزایش سطح امنیت زیرساخت اطلاعاتی است که دقیقاً به همین دلیل استاندارد ایجاد شده است. از اینجا می توان نتیجه گرفت که استاندارد برای همه کسانی که به امنیت اطلاعات خود فکر می کنند مفید خواهد بود.

استاندارد PCI DSS شامل الزامات امنیتی اطلاعات دقیق است که به 12 بخش موضوعی تقسیم می شود:

• استفاده از فایروال؛
• قوانین تنظیم تجهیزات؛
• حفاظت از داده های ذخیره شده در مورد صاحبان کارت پرداخت؛
• استفاده از ابزار رمزنگاری حفاظت در هنگام انتقال داده ها؛
• استفاده از عوامل ضد ویروسی؛
• توسعه و پشتیبانی امن برنامه ها و سیستم ها؛
• مدیریت دسترسی کاربر به داده ها؛
• مدیریت حساب؛
• تضمین امنیت فیزیکی؛
• نظارت بر امنیت داده ها؛
• تست منظم سیستم ها؛
• توسعه و پشتیبانی از سیاست امنیت اطلاعات

استاندارد PCI DSS الزاماتی برای استفاده از راه حل های فنی خاص، مدل های سخت افزاری و نسخه های نرم افزاری ندارد. PCI DSS الزاماتی را برای سازماندهی فرآیندهای امنیت اطلاعات، عملکرد ابزارهای امنیت اطلاعات، پیکربندی آنها و تنظیمات برنامه تعیین می کند.

می توانید نسخه فعلی 1.2 استاندارد PCI DSS را دانلود کنید.

تمام الزامات PCI DSS اجباری است. برخی از الزامات ممکن است به دلیل عدم وجود اجزای خاصی از زیرساخت اطلاعات برای سازمان شما اعمال نشود، به عنوان مثال، اگر از شبکه های بی سیم استفاده نمی کنید، شرکت شما مشمول الزامات امنیتی شبکه بی سیم نیست. اگر به دلیل محدودیت های اعمال شده توسط قانون، فرآیندهای تجاری یا فناوری قادر به برآورده کردن یک الزام خاص از یک استاندارد نیستید، می توانید از اقدامات جبرانی استفاده کنید. قاعده اساسی برای انتخاب اقدامات جبرانی این است که اقدام جبرانی باید همان خطری را که الزام استاندارد است که به دلیل محدودیت ها برآورده نمی شود، کاهش دهد.

الزامات استاندارد PCI DSS در مورد سیستم هایی اعمال می شود که برای پردازش، ذخیره و انتقال داده های مربوط به دارندگان کارت پرداخت و همچنین سیستم هایی که با آنها ارتباط شبکه دارند (سیستم ها، اتصالات که توسط فایروال محافظت نمی شوند) استفاده می شود.

بله، زیرسیستم‌های ATM فردی که در پردازش، ذخیره و انتقال داده‌های مربوط به دارندگان کارت پرداخت مشارکت دارند، در محدوده استاندارد PCI DSS گنجانده شده‌اند.

همانطور که استاندارد PCI در حال تکامل است، SSC تغییراتی در متن ایجاد می کند و نسخه های جدید سند را در وب سایت www.pcisecuritystandards.org منتشر می کند. از اول اکتبر 2008 تا به امروز، نسخه 1.2 استاندارد PCI DSS جاری است.

با توجه به برنامه های بررسی انطباق با الزامات PCI DSS که توسط سیستم های پرداخت بین المللی ایجاد شده است، تعدادی از سازمان ها ملزم به انجام ممیزی سالانه هستند. برنامه های تست انطباق برای بازرگانان و ارائه دهندگان خدمات متفاوت است.

بازرگانی که بیش از شش میلیون تراکنش کارت در سال انجام می دهند باید سالانه تحت بازرسی قرار گیرند. در مورد ارائه دهندگان خدمات، سیستم پرداخت بین المللی VISA نیازمند حسابرسی سالانه از کلیه مراکز پردازش و همچنین ارائه دهندگان خدماتی است که بیش از 300000 تراکنش در سال را پردازش می کنند و MasterCard - از کلیه مراکز پردازش و همچنین ارائه دهندگان خدماتی که بیش از یک میلیون تراکنش را پردازش می کنند. در سال . می توانید شرح مفصلی از روش های تأیید انطباق PCI DSS را بیابید.

شرکت‌های دارای وضعیت QSA (ارزیابی‌دهنده امنیت واجد شرایط) مجاز به انجام ممیزی برای انطباق با استاندارد PCI DSS هستند. لیست رسمی شرکت های دارای این وضعیت در وب سایت PCI SSC موجود است. یک شرکت با وضعیت QSA باید از حسابرسان تایید شده QSA استفاده کند.

زمان ممیزی به اندازه محدوده استاندارد PCI DSS و همچنین به ویژگی های زیرساخت شرکت بستگی دارد. به طور متوسط، ممیزی در سایت شرکت سه روز طول می کشد.

بر اساس نتایج ممیزی انطباق زیرساخت اطلاعاتی شما با الزامات استاندارد، حسابرس QSA گزارشی در مورد انطباق حاوی اطلاعات دقیق در مورد اجرای هر یک از الزامات PCI DSS تهیه خواهد کرد. نتایج ممیزی بینشی را در مورد اینکه منابع باید ابتدا برای بهبود امنیت محیط پردازش کارت پرداخت هدایت شوند، فراهم می کند.

با توجه به الزامات سیستم های پرداخت بین المللی، در صورتی که ناهماهنگی در زیرساخت اطلاعاتی با الزامات استاندارد PCI DSS شناسایی شود، باید یک Action Plan برای رفع آنها تهیه کنید. توصیه های حسابرس QSA که بررسی انطباق را انجام داده است در تهیه برنامه اقدام کمک خواهد کرد.

سیستم های پرداخت بین المللی برای سازمان هایی که ملزم به انجام ممیزی خارجی سالانه انطباق با PCI DSS هستند، مجازات هایی را در نظر می گیرند، اما آن را تصویب نمی کنند.

در این صورت، برای انطباق با الزام سیستم های پرداخت بین المللی برای انجام ممیزی خارجی سالانه، باید سیاست امنیتی تغییر کند که طبق PCI DSS، باید تمام الزامات استاندارد را در نظر بگیرد.

در صورتی که زیرساخت پرداخت شرکت به طور کامل با الزامات استاندارد PCI DSS مطابقت داشته باشد، گواهی انطباق پس از ممیزی صادر می شود.

انجام تست های نفوذ خارجی و داخلی توسط الزامات 11.3 استاندارد PCI DSS تنظیم می شود. تست نفوذ باید به صورت سالانه و همچنین پس از ایجاد تغییرات قابل توجه در زیرساخت پرداخت یک شرکت انجام شود. تلاش برای نفوذ انجام شده توسط متخصصی که مجموعه‌ای از آسیب‌پذیری‌ها را مطابق با مدل مهاجم معین اجرا می‌کند، به وضوح سطح امنیت محیط پرداخت را نشان می‌دهد. لطفا توجه داشته باشید که تست نفوذ انجام شده توسط متخصص هیچ شباهتی با اسکن خودکار ندارد.

اسکن سه ماهه محیط خارجی زیرساخت پرداخت یک شرکت، که توسط یک فروشنده اسکن تایید شده (ASV) انجام می شود، بخشی اجباری از رویه های انطباق PCI DSS است. می توانید شرح مفصلی از روش های تأیید انطباق PCI DSS را بیابید.

اگر پاسخ سوال خود را پیدا نکردید، ناامید نشوید. آن را برای ما ارسال کنید و ما با کمال میل سعی خواهیم کرد در اسرع وقت به آن پاسخ دهیم.

نام و نام خانوادگی:

پست الکترونیک:

در مورد استاندارد

PCI DSS (استاندارد امنیت داده صنعت کارت پرداخت) یک استاندارد امنیت داده صنعت کارت پرداخت است که توسط شورای استانداردهای امنیتی صنعت کارت پرداخت (PCI SSC) ایجاد شده است که توسط Visa، MasterCard، American Express، JCB و Discover ایجاد شده است.

الزامات این استاندارد برای همه شرکت‌هایی که با سیستم‌های پرداخت بین‌المللی کار می‌کنند اعمال می‌شود: بانک‌ها، شرکت‌های تجاری و خدماتی، ارائه‌دهندگان خدمات فناوری و سایر سازمان‌هایی که فعالیت‌های آنها مربوط به پردازش، انتقال و ذخیره‌سازی داده‌های مربوط به دارندگان کارت پرداخت است.

PCI DSS - راهنمای جامع امنیتی

استاندارد PCI DSS الزاماتی را برای امنیت اجزای زیرساخت ارائه می کند که در آن اطلاعات مربوط به کارت های پرداخت منتقل، پردازش یا ذخیره می شود. بررسی زیرساخت پرداخت برای مطابقت با این الزامات دلایلی را نشان می دهد که سطح امنیت آن را به میزان قابل توجهی کاهش می دهد. تست های نفوذ، که در لیست فعالیت های اجباری تنظیم شده توسط استاندارد PCI DSS گنجانده شده است، سطح واقعی امنیت منابع اطلاعاتی یک شرکت را هم از موقعیت یک مهاجم واقع در خارج از محیط مورد مطالعه و هم از موقعیت یک نشان می دهد. کارمند شرکت که "از درون" دسترسی دارد.

شورای PCI DSS الزامات کلیدی را برای سازماندهی حفاظت از داده ها در سند "استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) فرموله کرده است. الزامات و رویه های ارزیابی ایمنی نسخه 3.0 اینچ این الزامات به گونه ای گروه بندی می شوند که روش حسابرسی امنیتی را ساده کنند.

دانلود PCI DSS به زبان روسی.

الزامات و رویه های ارزیابی امنیت PCI DSS

ساخت و نگهداری شبکه ها و سیستم های امن

• شرط 1: "پیکربندی های فایروال را برای محافظت از داده های دارنده کارت ایجاد و حفظ کنید."
• شرط 2. "از رمزهای عبور سیستم و سایر تنظیمات امنیتی که توسط سازنده به طور پیش فرض تنظیم شده است استفاده نکنید."

از داده های دارنده کارت محافظت کنید

• شرط 3. "محافظت از داده های ذخیره شده دارنده کارت."
• شرط 4: "رمزگذاری داده های دارنده کارت هنگام انتقال از طریق شبکه های عمومی."

یک برنامه مدیریت آسیب پذیری را حفظ کنید

• شرط 5: "از همه سیستم ها در برابر بدافزار محافظت کنید و نرم افزار آنتی ویروس را به طور منظم به روز کنید."
• شرط 6: "توسعه و حفظ سیستم ها و برنامه های کاربردی ایمن."

اقدامات کنترل دسترسی دقیق را اجرا کنید

• الزام 7. "محدود کردن دسترسی به داده های دارنده کارت مطابق با نیازهای تجاری."
• الزام 8: "شناسایی و احراز هویت دسترسی به اجزای سیستم."
• شرط 9. "محدود کردن دسترسی فیزیکی به داده های دارنده کارت."

نظارت و آزمایش منظم شبکه ها را انجام دهید

• شرط 10: "تمام دسترسی ها به منابع شبکه و داده های دارنده کارت را ردیابی و نظارت کنید."
• شرط 11. "سیستم ها و فرآیندهای امنیتی را به طور منظم آزمایش کنید"

سیاست امنیت اطلاعات را حفظ کنید

• الزام 12. "حفظ یک خط مشی امنیت اطلاعات برای همه کارکنان."

"نظارت آینده" به بانک‌ها، شرکت‌های تجاری و خدماتی و توسعه‌دهندگان خدمات مالی کمک می‌کند تا برای ممیزی برای انطباق با PCI DSS آماده شوند و پشتیبانی تخصصی را برای برآورده کردن الزامات استاندارد ارائه می‌دهد.

اخیراً، Visa و MasterCard به طور فزاینده‌ای به انطباق PCI DSS از درگاه‌های پرداخت، بازرگانان متصل به آن‌ها و همچنین از ارائه‌دهندگان خدماتی که ممکن است بر امنیت داده‌های کارت تأثیر بگذارد، نیاز دارند. در این راستا، موضوع انطباق با استاندارد PCI DSS نه تنها برای بازیگران بزرگ صنعت کارت پرداخت، بلکه برای شرکت های تجاری و خدماتی کوچک نیز اهمیت پیدا می کند. در این مقاله به سوالات اصلی که سازمان هایی را که با وظیفه صدور گواهینامه PCI DSS مواجه هستند پاسخ خواهیم داد.

استاندارد PCI DSSتوسط PCI SSC (شورای استانداردهای امنیتی صنعت کارت پرداخت)، که توسط سیستم های پرداخت بین المللی Visa، MasterCard، American Express، JCB، Discover ایجاد شده است. این استاندارد فهرستی از الزامات از پیش تعریف شده را از نقطه نظر فنی و سازمانی تنظیم می کند، که حاکی از یک رویکرد یکپارچه با درجه بالایی از دقت برای اطمینان از امنیت داده های کارت پرداخت (PDC) است.

# چه کسانی تحت پوشش PCI DSS هستند؟

اول از همه، این استاندارد الزاماتی را برای سازمان هایی که داده های کارت پرداخت زیرساخت اطلاعاتی آنها ذخیره، پردازش یا منتقل می شود و همچنین برای سازمان هایی که می توانند بر امنیت این داده ها تأثیر بگذارند، تعریف می کند. هدف استاندارد کاملاً واضح است - اطمینان از امنیت کارت های پرداخت. از اواسط سال 2012، تمام سازمان های درگیر در فرآیند ذخیره سازی، پردازش و انتقال DPC باید با الزامات PCI DSS مطابقت داشته باشند و شرکت های فدراسیون روسیه نیز از این قاعده مستثنی نیستند.

برای درک اینکه آیا سازمان شما مشمول انطباق اجباری PCI DSS است، پیشنهاد می کنیم از یک فلوچارت ساده استفاده کنید.

شکل 1. تعیین اینکه آیا به انطباق PCI DSS نیاز دارید یا خیر

قدم اول پاسخ به دو سوال است:

• آیا داده های کارت پرداخت در سازمان شما ذخیره، پردازش یا منتقل می شود؟
• آیا فرآیندهای تجاری سازمان شما می تواند مستقیماً بر امنیت داده های کارت پرداخت تأثیر بگذارد؟

اگر پاسخ هر دوی این سوالات منفی باشد، نیازی به دریافت گواهینامه PCI DSS نیست. در مورد حداقل یک پاسخ مثبت، همانطور که در شکل 1 مشاهده می شود، رعایت استاندارد ضروری است.

# الزامات PCI DSS چیست؟

برای انطباق با استاندارد، الزامات باید رعایت شود که در دوازده بخش نشان داده شده در جدول زیر خلاصه شده است.

جدول 1. الزامات سطح بالای استاندارد PCI DSS

اگر کمی عمیق تر برویم، استاندارد نیاز به گذراندن حدود 440 روش تأیید دارد که باید هنگام بررسی مطابقت با الزامات، نتیجه مثبتی به همراه داشته باشد.

# چگونه می توانید مطابقت با استاندارد PCI DSS را تأیید کنید؟

راه‌های مختلفی برای تأیید انطباق با الزامات PCI DSS وجود دارد که عبارتند از: ممیزی خارجی (QSA)، حسابرسی داخلی (ISA) یا خود ارزیابی (SAQ) سازمان.ویژگی های هر یک از آنها در جدول نشان داده شده است.

جدول 2. روش های تایید انطباق با استاندارد PCI DSS

علیرغم سادگی ظاهری روش های ارائه شده، مراجعین اغلب هنگام انتخاب روش مناسب با سوء تفاهم ها و مشکلات مواجه می شوند. نمونه ای از این سؤالات در حال ظهور در زیر است.

# در چه وضعیتی انجام ممیزی خارجی و در کدام یک - داخلی ضروری است؟ یا کافی است خود را به خودارزیابی سازمان محدود کنیم؟

پاسخ به این سوالات به نوع سازمان و تعداد تراکنش های پردازش شده در سال بستگی دارد. این نمی تواند یک انتخاب تصادفی باشد زیرا قوانین مستندی وجود دارد که سازمان از کدام روش برای نشان دادن انطباق با یک استاندارد استفاده می کند. تمام این الزامات توسط سیستم های پرداخت بین المللی ایجاد شده است که محبوب ترین آنها در روسیه Visa و MasterCard هستند. حتی یک طبقه بندی وجود دارد که براساس آن دو نوع سازمان متمایز می شوند: شرکت های تجاری و خدماتی (تجار) و ارائه دهندگان خدمات.

تجارت- سرویسشرکتسازمانی است که کارت های پرداخت را برای پرداخت کالا و خدمات (فروشگاه ها، رستوران ها، فروشگاه های آنلاین، پمپ بنزین ها و غیره) می پذیرد.

ارائه دهنده خدمات- سازمان ارائه دهنده خدمات در صنعت کارت های پرداخت مربوط به پردازش تراکنش های پرداخت (مراکز داده، ارائه دهندگان میزبانی، درگاه های پرداخت، سیستم های پرداخت بین المللی و غیره).

بسته به تعداد تراکنش های پردازش شده در سال، بازرگانان و ارائه دهندگان خدمات ممکن است در سطوح مختلف طبقه بندی شوند.

فرض کنید یک شرکت تجاری و خدماتی تا 1 میلیون تراکنش در سال را با استفاده از تجارت الکترونیک پردازش می کند. بر اساس طبقه بندی Visa و MasterCard (شکل 2)، سازمان به سطح 3 تعلق خواهد داشت. بنابراین، برای تایید انطباق با PCI DSS، لازم است یک اسکن خارجی سه ماهه از آسیب پذیری های اجزای زیرساخت اطلاعاتی ASV (مورد تایید) انجام شود. فروشنده اسکن) و یک SAQ خود ارزیابی سالانه. در این مورد، سازمان نیازی به جمع آوری شواهد مربوط به انطباق ندارد، زیرا این برای سطح فعلی ضروری نیست. سند گزارش، برگه خودارزیابی SAQ تکمیل شده خواهد بود.

اسکن ASV (فروشنده تایید شده اسکن)- بررسی خودکار تمام نقاط اتصال زیرساخت اطلاعاتی به اینترنت به منظور شناسایی آسیب‌پذیری‌ها. با توجه به الزامات استاندارد PCI DSS، این روش باید به صورت فصلی انجام شود.

یا مثال ارائه دهنده خدمات ابری را در نظر بگیرید که بیش از 300 هزار تراکنش در سال را پردازش می کند. با توجه به طبقه بندی تعیین شده Visa یا MasterCard، ارائه دهنده خدمات به عنوان سطح 1 طبقه بندی می شود. این بدان معنی است که همانطور که در شکل 2 نشان داده شده است، لازم است یک اسکن خارجی سه ماهه از آسیب پذیری های اجزای زیرساخت اطلاعات ASV و همچنین انجام شود. ممیزی سالانه QSA خارجی

شایان ذکر است که بانک درگیر در فرآیند پذیرش کارت های پرداخت برای پرداخت کالا یا خدمات، به اصطلاح بانک تملک کنندهو همچنین سیستم های پرداخت بین المللی (IPS) می تواند سطح را نادیده بگیردتاجر متصل به آنها یا ارائه دهنده خدمات مورد استفاده، طبق ارزیابی ریسک خودش. سطح تعیین شده بر طبقه بندی سیستم پرداخت بین المللی نشان داده شده در شکل 2 اولویت دارد.

شکل 2. طبقه بندی سطوح و الزامات برای تایید انطباق با استاندارد PCI DSS

# آیا نقض یک‌بار مهلت‌های اسکن ASV از منظر انطباق PCI DSS خطر جدی دارد؟

سازمانی که وضعیت PCI DSS را دریافت می‌کند باید به طور منظم الزامات خاصی را برآورده کند، مانند انجام اسکن‌های فصلی ASV. در طول ممیزی اولیه، کافی است یک روش اسکن ASV مستند و نتایج حداقل یک اجرای موفق در سه ماه گذشته داشته باشید. تمام اسکن های بعدی باید سه ماهه باشد، دوره زمانی نباید بیش از سه ماه باشد.

نقض برنامه برای اسکن آسیب پذیری خارجی مستلزم تحمیل الزامات اضافی بر سیستم مدیریت امنیت اطلاعات در سازمان است. در مرحله اول، انجام یک اسکن ASV برای آسیب‌پذیری‌ها و دستیابی به یک گزارش "سبز" همچنان ضروری است. و ثانیاً ، لازم است یک رویه اضافی ایجاد شود که در آینده اجازه چنین نقض برنامه ریزی را ندهد.

سرانجام

نتایج اصلی را می توان در نقل قولی از پیتر شاپوالوف، مهندس امنیت اطلاعات در Deuterium LLC بیان کرد:

با وجود این واقعیت که فدراسیون روسیه قبلاً شروع به کار سیستم کارت ملی پرداخت خود (NSCP) کرده است، الزامات سیستم های پرداخت بین المللی لغو نشده است. برعکس، اخیراً نامه‌های مکرری از سوی ویزا و مسترکارت به بانک‌های خریدار مبنی بر اینکه بانک‌ها نیازمند رعایت استاندارد PCI DSS از درگاه‌های پرداخت، بازرگانان متصل به آن‌ها و همچنین از ارائه‌دهندگان خدماتی هستند که ممکن است بر امنیت کارت تأثیر بگذارند، ارسال شده است. داده . در این راستا، موضوع انطباق با استاندارد PCI DSS نه تنها برای بازیگران بزرگ صنعت کارت پرداخت، بلکه برای شرکت های تجاری و خدماتی کوچک نیز اهمیت پیدا می کند.

در حال حاضر خدمات مدیریت شده برای بازار روسیه مرتبط است. این شامل این واقعیت است که ارائه دهنده خدمات نه تنها تجهیزات یا زیرساخت اطلاعات مجازی را برای اجاره به مشتریان ارائه می دهد، بلکه خدماتی را برای مدیریت آن مطابق با الزامات استاندارد PCI DSS ارائه می دهد. این امر به ویژه برای شرکت های تجاری و خدماتی کوچک که بخش فناوری اطلاعات و امنیت اطلاعات خود را ندارند مفید است. مراجعه به ارائه‌دهندگان خدمات معتبر به ساده‌سازی قابل‌توجه فرآیند صدور گواهینامه PCI DSS برای بازرگانان و تضمین حفاظت از داده‌های کارت پرداخت در سطح مناسب کمک می‌کند.

به عنوان نمونه ای از یک شرکت ارائه دهنده خدمات مدیریت شده PCI DSS (نه تنها اجاره زیرساخت PCI DSS، بلکه مدیریت آن مطابق با الزامات استاندارد) می توان نام برد.

هر آزمایش نفوذ هدفمند و معنادار باید
با در نظر گرفتن توصیه ها و قوانین انجام می شود. حداقل برای بودن
یک متخصص توانمند و چیزی را از دست ندهید. بنابراین، اگر می خواهید خود را ببندید
فعالیت های حرفه ای با pentesting - حتما بخوانید
استانداردها و اول از همه - با مقاله من.

قوانین و چارچوب پنتست اطلاعات در روش شناسی ارائه شده است
OSSTMMو OWASP. پس از آن، داده های به دست آمده را می توان به راحتی
سازگاری برای ارزیابی انطباق با هر صنعتی
استانداردها و "بهترین شیوه های جهانی" مانند کوبیت,
استانداردهای سری ISO/IEC 2700x، توصیه ها کشورهای مستقل مشترک المنافع/SANS/NIST/و غیره
و - در مورد ما - استاندارد PCI DSS.

البته، داده های انباشته شده در طول آزمایش برای
نفوذ، برای انجام یک ارزیابی کامل با توجه به استانداردهای صنعت
کافی نخواهد بود اما به همین دلیل است که این یک آزمایش است، نه یک ممیزی. علاوه بر این، برای
اجرای چنین ارزیابی تنها با داده های تکنولوژیکی
برای کسی کافی نخواهد بود ارزیابی کامل مستلزم مصاحبه با کارکنان است
بخش های مختلف شرکت در حال ارزیابی، تجزیه و تحلیل اداری
اسناد، فرآیندهای مختلف IT/IS و بسیاری موارد دیگر.

با توجه به تست نفوذ در صورت لزوم
استاندارد برای امنیت اطلاعات در صنعت کارت پرداخت - زیاد نیست
با آزمایش های معمولی که با استفاده از تکنیک ها انجام می شود متفاوت است
OSSTMMو OWASP. علاوه بر این، استاندارد PCI DSSتوصیه شده
برای رعایت قوانین OWASPهنگام انجام هر دو پنتست (AsV) و
حسابرسی (QSA).

تفاوت اصلی بین تست PCI DSSاز تست تا
نفوذ به معنای وسیع کلمه به شرح زیر است:

1. استاندارد حملات با را تنظیم نمی کند (و بنابراین نیازی ندارد).
   با استفاده از مهندسی اجتماعی
2. تمام بازرسی های انجام شده باید خطر «امتناع از
   سرویس" (DoS). بنابراین، آزمایش انجام شده باید
   با استفاده از روش "جعبه خاکستری" با هشدار اجباری انجام می شود
   مدیران سیستم های مربوطه
3. هدف اصلی چنین آزمایشی تلاش برای پیاده سازی است
   دسترسی غیرمجاز به داده های کارت پرداخت (PAN، نام دارنده کارت و
   و غیره.).

روش "جعبه خاکستری" به اجرای انواع مختلف اشاره دارد
نوع چک با دریافت اولیه اطلاعات تکمیلی در مورد
سیستم مورد مطالعه در مراحل مختلف تست. این خطر را کاهش می دهد
انکار خدمات هنگام انجام چنین کاری در رابطه با اطلاعات
منابع فعال 24/7.

به طور کلی، تست نفوذ PCI باید
معیارهای زیر را برآورده کند:

• بند 11.1 (ب) - تجزیه و تحلیل امنیتی شبکه های بی سیم
• بند 11.2 - اسکن شبکه اطلاعات برای آسیب پذیری ها (AsV)
• بند 11.3.1 - انجام بررسی ها در سطح شبکه (لایه شبکه
  تست های نفوذ)
• بند 11.3.2 - انجام بررسی ها در سطح برنامه (Application-layer)
  تست های نفوذ)

اینجاست که تئوری به پایان می رسد و ما به سمت عمل می رویم.

تعیین مرزهای مطالعه

اولین قدم درک مرزهای تست نفوذ است،
توالی اقداماتی که باید انجام شود را تعیین و توافق کنید. در بهترین حالت
در این صورت، بخش امنیت اطلاعات می تواند نقشه شبکه ای را که بر روی آن انجام می شود، دریافت کند
به طور شماتیک نشان می دهد که چگونه مرکز پردازش با کلی تعامل دارد
زیر ساخت. در بدترین حالت، باید با مدیر سیستم ارتباط برقرار کنید،
که از اشتباهات خود آگاه است و اطلاعات جامعی در مورد آن به دست می آورد
سیستم اطلاعاتی به دلیل عدم تمایل او به اشتراک گذاری اطلاعات با مشکل مواجه خواهد شد
دانش منحصر به فرد (یا نه چندان منحصر به فرد - یادداشت فورب). یک راه یا روش دیگر، برای انجام
PCI DSS pentest حداقل به اطلاعات زیر نیاز دارد:

• تقسیم بندی شبکه (کاربر، فناوری، DMZ، پردازش و
  و غیره.)؛
• فایروال در مرزهای زیر شبکه (ACL/ITU)؛
• استفاده از برنامه های کاربردی وب و DBMS (هم آزمایشی و هم سازنده)؛
• شبکه های بی سیم مورد استفاده؛
• هر گونه جزئیات ایمنی که باید در نظر گرفته شود
  در طول بررسی (به عنوان مثال، مسدود کردن حساب ها زمانی که N
  تلاش‌های احراز هویت نادرست)، ویژگی‌های زیرساخت و کلیات
  خواسته ها در طول آزمایش

با تمام اطلاعات لازم ذکر شده در بالا، می توانید
پناهگاه موقت خود را در بهینه ترین بخش شبکه سازماندهی کنید و
شروع به بررسی سیستم اطلاعاتی کنید.

تست های نفوذ لایه شبکه

برای شروع، ارزش آن را دارد که ترافیک شبکه ای را که با استفاده از آن عبور می کند، تجزیه و تحلیل کنید
هر آنالیزور شبکه در حالت کارکرد "بی بند و باری" کارت شبکه
(حالت بی بند و باری). به عنوان یک تحلیلگر شبکه برای اهداف مشابه
مناسب یا CommView عالی است. برای تکمیل این مرحله 1-2 ساعت کار کافی خواهد بود
انفیه گر پس از این زمان، داده های کافی برای انجام جمع آوری خواهد شد
تجزیه و تحلیل ترافیک رهگیری شده و اول از همه، هنگام تجزیه و تحلیل، باید
به پروتکل های زیر توجه کنید:

• پروتکل های سوئیچینگ (STP، DTP، و غیره)؛
• پروتکل های مسیریابی (RIP، EIGRP، و غیره)؛
• پروتکل های پیکربندی میزبان پویا (DHCP، BOOTP)؛
• پروتکل های باز (تلنت، rlogin و غیره).

در مورد پروتکل‌های باز، احتمال سقوط آنها وجود دارد
مدت زمانی که برای شناسایی ترافیک عبوری در یک شبکه سوئیچ شده لازم است بسیار کوتاه است.
با این حال، اگر چنین ترافیک زیادی وجود داشته باشد، در شبکه مورد بررسی به وضوح مشاهده می شود
مشکلات مربوط به تنظیمات تجهیزات شبکه

در سایر موارد، امکان انجام حملات زیبا وجود دارد:

• حمله کلاسیک MITM (مرد در وسط) هنگام استفاده
  DHCP، RIP
• به دست آوردن نقش گره ریشه STP (Root Bridge) که اجازه می دهد
  رهگیری ترافیک از بخش های همسایه
• انتقال پورت به حالت ترانک با استفاده از DTP (فعال کردن ترانک).
  به شما این امکان را می دهد که تمام ترافیک در بخش خود را رهگیری کنید
• و غیره.

یک ابزار عالی برای حمله به پروتکل های سوئیچینگ در دسترس است.
یرسینیا بیایید فرض کنیم که در طی فرآیند تحلیل ترافیک، ترافیک پروازی شناسایی شد.
بسته های DTP گذشته (نگاه کنید به تصویر). سپس بسته DTP ACCESS/DESIRABLE ارسال می شود
ممکن است به پورت سوئیچ اجازه دهد تا در حالت Trunk قرار گیرد. به علاوه
توسعه این حمله به شما امکان می دهد بخش خود را استراق سمع کنید.

پس از آزمایش لایه پیوند، باید توجه خود را به لایه سوم تغییر دهید
سطح OSI نوبت به انجام یک حمله مسموم کننده ARP رسیده است. اینجا همه چیز ساده است.
ما یک ابزار را انتخاب می کنیم، به عنوان مثال،

و با کارمندان امنیت اطلاعات درباره جزئیات این حمله (از جمله
نیاز به انجام یک حمله با هدف رهگیری SSL یک طرفه).
مسئله این است که اگر یک حمله مسمومیت ARP با موفقیت در برابر آن اجرا شود
در کل بخش آن، ممکن است موقعیتی ایجاد شود که رایانه مهاجم این کار را نکند
با جریان داده های ورودی کنار بیایید و در نهایت ممکن است این اتفاق بیفتد
باعث انکار سرویس برای کل بخش شبکه شود. بنابراین، صحیح ترین
اهداف منفرد، به عنوان مثال، مشاغل سرپرست و/یا را انتخاب می کند
توسعه دهندگان، هر سرور خاص (احتمالاً یک کنترل کننده دامنه،
DBMS، سرور ترمینال و غیره).

یک حمله موفق با مسمومیت ARP به شما امکان می دهد متن واضح را به دست آورید
رمزهای عبور منابع اطلاعاتی مختلف - DBMS، فهرست دامنه (اگر
کاهش اعتبار NTLM)، رشته SNMP-community، و غیره در کمتر
در یک مورد موفق، مقادیر هش را می توان از رمزهای عبور برای سیستم های مختلف به دست آورد.
که باید سعی کنید در طول پنست آن را بازیابی کنید
با استفاده از جداول رنگین کمان، فرهنگ لغت یا حمله سر به سر. رهگیری شد
رمز عبور را می توان در جای دیگری استفاده کرد و متعاقبا این نیز ضروری است
تایید یا رد

علاوه بر این، ارزش آنالیز تمام ترافیک رهگیری شده برای حضور را دارد
CAV2/CVC2/CVV2/CID/PIN در متن واضح منتقل می شود. برای انجام این کار می توانید رد شوید
فایل cap ذخیره شده از طریق NetResident و/یا
.
به هر حال، مورد دوم برای تجزیه و تحلیل ترافیک انباشته به طور کلی عالی است.

تست های نفوذ لایه کاربردی

بیایید به سطح چهارم OSI برویم. در اینجا، اول از همه، همه چیز به این نتیجه می رسد
اسکن ابزاری شبکه بررسی شده چگونه آن را خرج کنیم؟ انتخاب اشتباه است
خیلی بزرگ اسکن اولیه را می توان با استفاده از Nmap در انجام داد
حالت «اسکن سریع» (کلیدهای -F -T Aggressive|Insane) و در مراحل بعدی
آزمایش، اسکن در پورت های خاص (سوئیچ -p)، به عنوان مثال،
در مواردی که محتمل ترین بردارهای نفوذ مرتبط با
آسیب پذیری در سرویس های شبکه خاص در عین حال، ارزش اجرای اسکنر را دارد
امنیت - Nessus یا XSpider (این دومی نتایج گوشتی خواهد داشت) در
حالت انجام فقط بررسی های ایمن هنگام اسکن کردن
آسیب پذیری ها، توجه به وجود سیستم های قدیمی نیز ضروری است
(به عنوان مثال، ویندوز NT 4.0)، زیرا استاندارد PCI آنها را ممنوع کرده است
استفاده در پردازش داده های دارنده کارت

اگر آسیب‌پذیری مهمی را در هر سرویسی کشف کردید، نباید بلافاصله
یا برای بهره برداری از آن عجله کنید. روش صحیح برای تست PCI این است:
این اولاً برای به دست آوردن تصویر کامل تری از وضعیت امنیت سوژه است
سیستم ها (آیا این آسیب پذیری تصادفی است یا در همه جا وجود دارد)،
و ثانیا، اقدامات خود را برای بهره برداری از آسیب پذیری های شناسایی شده هماهنگ کنند
سیستم های خاص

نتایج معاینه ابزاری باید یک تصویر کلی ارائه دهد
اجرای فرآیندهای امنیت اطلاعات و درک سطحی از وضعیت امنیت
زیر ساخت. هنگام کار بر روی اسکن ها، می توانید بخواهید که با آن آشنا شوید
خط مشی امنیت اطلاعات مورد استفاده در شرکت برای خودسازی عمومی :).

مرحله بعدی انتخاب اهداف برای نفوذ است. در این مرحله باید
تجزیه و تحلیل تمام اطلاعات جمع آوری شده در طول گوش دادن
اسکن ترافیک و آسیب پذیری احتمالا تا این زمان وجود خواهد داشت
سیستم های آسیب پذیر یا بالقوه آسیب پذیر را ردیابی کنید. بنابراین آمده است
وقت آن است که از این کمبودها استفاده کنید.

همانطور که تمرین نشان می دهد، کار در سه جهت زیر انجام می شود.

1. بهره برداری از آسیب پذیری ها در خدمات شبکه

زمانی در گذشته های دور وجود دارد که استثمار سهم عده معدودی بود،
حداقل قادر به جمع آوری کد شخص دیگری و (اوه خدا!) کد پوسته خود را آماده می کند.
در حال حاضر از آسیب‌پذیری‌های سرویس‌های شبکه مانند سیل استفاده می‌شود
بافرها و امثال آنها در دسترس همه هستند. علاوه بر این، روند به طور فزاینده ای شبیه است
بازی در ژانر کوئست Core Impact را بگیرید که کل پنست را جمع می کند
برای کلیک کردن با ماوس بر روی منوهای کشویی مختلف در یک بسته بندی رابط کاربری گرافیکی زیبا.
چنین ابزارهایی در زمان زیادی صرفه جویی می کنند که در حین پنتست داخلی
نه چندان زیرا جوک ها جوک هستند و مجموعه ویژگی ها در Core Impact پیاده سازی شده است
اجازه می دهد بدون تلاش زیاد، به طور مداوم عملیات، بلند کردن را انجام دهد
امتیازات، جمع آوری اطلاعات و حذف آثار حضور شما در سیستم. که در
به همین دلیل Core Impact در بین حسابرسان غربی محبوبیت خاصی دارد
نفوذگران

از جمله ابزارهای در دسترس عموم از این نوع می توان به موارد زیر اشاره کرد:
مجموعه ها: Core Impact، CANVAS، SAINTexploit و Metasploit Framework مورد علاقه همه.
در مورد سه مورد اول، اینها همه محصولات تجاری هستند. درسته بعضیا
نسخه های قدیمی مجموعه های تجاری در یک زمان در اینترنت به بیرون درز کرد. در صورت تمایل
می توانید آنها را در شبکه جهانی پیدا کنید (به طور طبیعی، صرفاً به منظور
خودآموزی). خب، تمام اکسپلویت های تازه رایگان در Metasploit در دسترس هستند
چارچوب. البته، ساخت‌های روز صفر وجود دارند، اما این پول کاملاً متفاوت است.
علاوه بر این، یک نظر بحث برانگیز وجود دارد که هنگام انجام یک پنت، از آنها استفاده می شود
کاملا صادقانه نیست

بر اساس داده های اسکن شبکه، می توانید کمی هکر بازی کنید :).
پس از توافق قبلی در مورد لیست اهداف، بهره برداری از کشف شده را انجام دهید
آسیب‌پذیری‌ها، و سپس یک ممیزی محلی سطحی از سیستم‌های ضبط شده انجام دهید.
اطلاعات جمع آوری شده در مورد سیستم های آسیب پذیر می تواند آنها را بهبود بخشد
امتیازات در سایر منابع شبکه یعنی اگر در حین حمله
اگر ویندوز را خراب کرده اید، ضرری ندارد که پایگاه داده SAM (fgdump) را از آن حذف کنید.
بازیابی رمز عبور بعدی، و همچنین اسرار LSA (Cain&Abel)، که در آن
اغلب بسیاری از اطلاعات مفید را می توان به صورت باز ذخیره کرد. راستی،
پس از اتمام تمام کارها، اطلاعات جمع آوری شده در مورد رمزهای عبور را می توان به عنوان در نظر گرفت
زمینه انطباق یا عدم انطباق با الزامات استاندارد PCI DSS (بند 2.1،
بند 2.1.1، بند 6.3.5، بند 6.3.6، بند 8.4، بند 8.5.x).

2. تجزیه و تحلیل کنترل دسترسی

تجزیه و تحلیل کنترل دسترسی باید روی تمام اطلاعات انجام شود
منابعی که با آن می توان NSD را پیاده سازی کرد. و در اشتراک فایل
ویندوز (SMB)، که دسترسی ناشناس در آن نیز باز است. این اغلب اجازه می دهد
کسب اطلاعات اضافی در مورد منابعی که در آن کشف نشده اند
زمان اسکن شبکه، یا تصادفاً بر روی اطلاعات دیگر، متفاوت است
درجه محرمانه بودن، در قالب واضح ذخیره می شود. همانطور که قبلاً گفتم، چه زمانی
انجام آزمایش PCI، اول از همه، جستجو با هدف شناسایی است
داده های دارنده کارت بنابراین، مهم است که بفهمیم این داده ها چه شکلی هستند و
آنها را در تمام منابع اطلاعاتی که مربوط به آنها است جستجو کنید
دسترسی داشته باشید.

3. حمله بی رحمانه

لازم است، حداقل، پیش فرض ها و ترکیبات ورود و رمز عبور ساده را بررسی کنید.
بررسی های مشابه قبل از هر چیز در رابطه با شبکه باید انجام شود
تجهیزات (از جمله برای SNMP) و رابط های مدیریت از راه دور.
هنگام انجام اسکن AsV طبق PCI DSS، انجام "سنگین" مجاز نیست
نیروی بی رحم، که می تواند منجر به یک وضعیت DoS شود. اما در مورد ما صحبت می کنیم
در مورد پنت PCI داخلی، و بنابراین ارزش آن را به شکل معقول و بدون تعصب دارد
انجام یک حمله برای انتخاب ترکیب های رمز عبور ساده برای انواع مختلف
منابع اطلاعاتی (DBMS، WEB، OS و غیره).

مرحله بعدی تجزیه و تحلیل امنیت برنامه های کاربردی وب است. هنگام پنت کردن از طریق PCI
هیچ صحبتی در مورد تحلیل عمیق وب وجود ندارد. بیایید آن را به حسابرسان QSA بسپاریم. اینجا
کافی است یک اسکن جعبه سیاه با تأیید انتخابی انجام دهید
آسیب پذیری های سمت سرویس گیرنده/سرور قابل بهره برداری علاوه بر مواردی که قبلا ذکر شد
اسکنرهای امنیتی می توانند از اسکنرهای طراحی شده برای تجزیه و تحلیل استفاده کنند
وب راه حل ایده آل قطعا HP WebInspect یا
(که اتفاقاً در تشخیص اشکالات در AJAX عالی است). اما همه اینها -
لوکس گران قیمت و غیر قابل مقرون به صرفه، و اگر چنین است، پس w3af، که در
اخیراً از نظر تشخیص انواع مختلف شتاب بیشتری گرفته است
آسیب پذیری در برنامه های کاربردی وب

در مورد تأیید دستی آسیب پذیری ها در وب! لازم است، حداقل،
مکانیسم های احراز هویت و مجوز را بررسی کنید، از ساده استفاده کنید
ترکیبات ورود و رمز عبور، پیش‌فرض‌ها، و همچنین تزریق‌های SQL مورد علاقه همه،
شامل فایل ها و اجرای دستورات روی سرور. در مورد سمت مشتری
آسیب‌پذیری‌ها، سپس، علاوه بر تأیید امکان بهره‌برداری از آسیب‌پذیری، در اینجا
چیزی بیشتر مورد نیاز نیست اما با سمت سرور باید کمی سرهم بندی کنید،
زیرا هنوز هم یک آزمون پنالتی است، البته طبق PCI DSS. همانطور که قبلاً اشاره کردم، ما به دنبال PAN هستیم،
نام دارنده کارت و CVC2/CVV2 اختیاری است. به احتمال زیاد، چنین داده هایی
در DBMS موجود است، و بنابراین، اگر یک تزریق SQL یافت شود، ارزش ارزیابی نام‌ها را دارد.
جداول، ستون ها؛ توصیه می شود چندین نمونه آزمایشی تهیه کنید
تایید یا رد وجود چنین داده هایی در پایگاه داده در
فرم رمزگذاری نشده اگر با تزریق Blind SQL مواجه شدید، بهتر است تحریک کنید
به وب سرور (از
switch --dump-all)، که در حال حاضر با MySQL، Oracle کار می کند،
PostgreSQL و Microsoft SQL Server. این داده ها برای نشان دادن کافی خواهد بود
بهره برداری از آسیب پذیری

مرحله بعدی تجزیه و تحلیل امنیت DBMS است. باز هم، یکی عالی وجود دارد
ابزار - AppDetective از "Application Security Inc."، اما گران است
لذت متأسفانه، هیچ اسکنر امنیتی مشابهی وجود ندارد که نمایش داده شود
مقدار اطلاعاتی که AppDetective می تواند انجام دهد و به همان میزان پشتیبانی می کند
DBMS در حال حاضر وجود ندارد. و بنابراین باید در نظر بگیریم
بسیاری از محصولات مجزا و نامرتبط که برای آنها طراحی شده است
کار با فروشندگان خاص بنابراین، برای اوراکل حداقل مجموعه
pentester به شرح زیر خواهد بود:

• Oracle Database Client - محیطی برای کار با DBMS
• Toad for Oracle – کلاینت برای کار با PL/SQL
• کیت ارزیابی Oracle - براشینگ کاربران و SIDهای پایگاه داده
• اسکریپت های مختلف PL/SQL (به عنوان مثال، ممیزی پیکربندی یا
  توانایی پایین آمدن به سطح اجرای دستورات سیستم عامل)

مرحله آخر تست نفوذ PCI آنالیز است
امنیت شبکه های بی سیم، یا بهتر است بگوییم، نه حتی تجزیه و تحلیل، بلکه جستجو برای نقاط دسترسی،
با استفاده از پیکربندی های آسیب پذیر مانند Open AP، WEP و WPA/PSK. با یکی دیگر
از سوی دیگر، استاندارد PCI تجزیه و تحلیل عمیق تر از جمله را ممنوع نمی کند
با بازیابی کلیدهای اتصال به شبکه بی سیم. چون منطقی است
انجام این نوع کار ابزار اصلی در این مرحله است
البته aircrack-ng وجود خواهد داشت. علاوه بر این، می توانید حمله ای را با هدف انجام دهید
مشتریان بی سیم، معروف به "Caffe Latte"، با استفاده از همان
ابزار هنگام انجام یک نظرسنجی شبکه بی سیم، می توانید با خیال راحت
با داده های سایت هدایت شوید
wirelessdefense.org

به جای نتیجه گیری

بر اساس نتایج آزمایش، تمام اطلاعات جمع آوری شده در آن تجزیه و تحلیل می شود
در زمینه انطباق با الزامات فنی استاندارد PCI DSS. و من در حال حاضر چگونه هستم
در همان ابتدا ذکر شد، به همین ترتیب، داده‌های به‌دست‌آمده در طول یک آزمون پنت می‌تواند باشد
در چارچوب هر سند سطح بالا دیگری تفسیر می شود،
حاوی معیارهای فنی و توصیه هایی برای سیستم مدیریت
امنیت اطلاعات. با توجه به الگوی گزارش استفاده شده
اسناد PCI - می توانید از الزامات MasterCard برای گزارش PCI استفاده کنید
اسکن AsV آنها تقسیم گزارش را به دو سند ارائه می دهند -
یک سند سطح بالا برای مدیر که حاوی نمودارهای زیبا است
و درصد انطباق وضعیت فعلی سیستم با الزامات PCI DSS نشان داده شده است،
و یک سند فنی حاوی پروتکل آزمایش انجام شده برای
نفوذ، آسیب‌پذیری‌های شناسایی و مورد بهره‌برداری، و همچنین توصیه‌هایی برای
انطباق سیستم اطلاعاتی با الزامات مسترکارت.
اکنون می توانم خداحافظی کنم و برای شما در تحقیقات خود آرزوی موفقیت کنم!

WWW

pcisecuritystandards.org - شورای استانداردهای امنیتی PCI.
pcisecurity.ru – پورتال،
اختصاص داده شده به PCI DSS از Informzashchita.
pcidss.ru - پورتال اختصاص داده شده به
PCI DSS از Digital Security.
isecom.org/osstmm - باز کنید
راهنمای روش‌شناسی تست امنیت منبع.
owasp.org - برنامه وب را باز کنید
پروژه امنیتی