Penetrationstests auf Anwendungsebene und Netzwerkebene

Die PCI-DSS-Anforderung 11.3 verlangt die Durchführung eines externen und eines internen Penetrationstests. Die geforderten Sicherheitsprüfungen müssen mindestens einmal im Jahr und nach jeder signifikanten Infrastruktur- oder Anwendungsaktualisierung oder -änderung durch professionelle Penetrationstester durchgeführt werden.

Gerne senden wir Ihnen detaillierte Informationen über unsere spezialisierten, auf der PCI-DSS-Anforderung 11.3 basierenden Penetrationstests zu. Im Folgenden werden die beiden Penetrationstest näher erläutert:

Der Penetrationstest auf Netzwerkebene untersucht die Angriffs- und Manipulationsmöglichkeiten der Karteninhaberdaten-Umgebung. Er erfolgt sowohl über das Internet als auch in der internen Karteninhaberdaten-Umgebung selbst. Dabei werden alle dort erreichbaren Netzwerkkomponenten, verwendete Netzwerkprotokolle und Betriebssysteme inkl. der direkt erreichbaren Dienste und Anwendungen auf Sicherheitslücken und Manipulationsmöglichkeiten geprüft.

Berücksichtigt werden auch drahtlose Technologien, die innerhalb der Karteninhaberdaten-Umgebung vorgefunden werden. Netzwerksegmentierungen werden ebenfalls bidirektional auf ihre Sicherheit getestet.

Der Penetrationstest auf Anwendungsebene untersucht gemäß der PCI-DSS-Anforderung 11.3.2 primär die Webanwendungen auf die in der PCI-DSS-Anforderung 6.5 aufgeführten Schwachstellen. Selbstverständlich wird die Prüfung auf Wunsch auf die Suche nach weiteren potenziellen Schwachstellen und Manipulationsmöglichkeiten erweitert.