Case: Pentest PCI DSS Compliance para Fintech

Júlia Valim

Aqui no blog da Vantico, você já viu várias explicações sobre o Pentest, como ele funciona, sua importância e outras informações técnicas sobre os Testes de Intrusão.

Agora, chegou a hora de você conferir, na prática, como é um Pentest da Vantico! Neste artigo, iremos apresentar o case de um teste real executado por nós.

Pentest PCI DSS Compliance

Uma fintech procurou a Vantico precisando executar um Pentest direcionado para o compliance PCI DSS: um padrão de segurança para empresas do ramo financeiro que lidam com pagamentos com cartões de crédito, especialmente Visa e Mastercard.

Portanto, a empresa precisa garantir que estava com os ativos protegidos de acordo com as diretrizes deste compliance.

Principais desafios

Todo Pentest traz desafios consigo, ligados ao modelo de negócio de cada empresa e suas particularidades técnicas.

Negócios: na parte de negócios, o principal desafio foi realizar o Pentest com agilidade e precisão, para que as particularidades do PCI DSS fossem verificadas.

Técnicos: da perspectiva técnica, foi necessário focar nos requisitos técnicos exigidos pelo compliance PCI DSS.

Metodologias utilizadas

O teste foi executado na principal aplicação web da fintech. Para isso, nossos pentesters utilizaram as seguintes metodologias:

_Penetration Testing Execution Standard

_OWASP Testing Guide

_Open Source Security Testing Methodology Manual

_Information Systems Security Assessment Framework

_A Web Application Hacker’s Methodology

_SANS 25 Security Threats

Imagem: Metodologias utilizadas pela Vantico no Pentest PCI DSS Compliance.

Planejamento

A etapa seguinte foi a definição do escopo do projeto. Por ser voltado ao compliance PCI DSS, o teste foi executado com 1 semana de duração, de forma que o cliente tivesse tempo para fazer as correções necessárias.

O planejamento ficou estabelecido em 8 passos:

Montar o escopo do projeto, de acordo com as necessidades passadas pelo cliente e particularidades do ativo
Mapear a aplicação e levantar os dados relevantes para o teste
Criar a modelagem de ameaças do cliente
Definir e analisar as principais vulnerabilidades
Explorar as aplicações determinadas pelo cliente
Comprometer o servidor
Finalizar a execução do teste e enviar os resultados para o cliente
Iniciar a remediação por parte da fintech, de acordo com as orientações de nossos pentesters, para adequar-se ao PCI DSS.

Imagem: Escopo utilizado pela Vantico no Pentest PCI DSS Compliance.

Vulnerabilidades encontradas

Ao final do teste, haviam sido encontradas várias vulnerabilidades, entre críticas e altas. Entre as principais ameaças identificadas estavam:

IDOR: essa vulnerabilidade significa que, dentro da aplicação web, dados e objetos que serão enviados aos usuários podem ser alterados por pessoas que não possuem permissão para tal.
Falha em lógica de negócios: a lógica de negócios é a descrição de como o usuário interage com a aplicação, e quais comandos serão executados no processo. Sem ela, a usabilidade e a segurança tornam-se falhas.
Ausência de boas práticas de hardening: o hardening representa um conjunto de ferramentas, ações e técnicas, que podem reduzir as vulnerabilidades de um ativo. Sem elas, o negócio se torna ainda mais vulnerável.

Durante e após a identificação das falhas de segurança, foram feitas as seguintes entregas à fintech:

Atualizações em tempo real sobre o andamento do projeto e as vulnerabilidades dentro da plataforma;
Comentários e recomendações da equipe da Vantico, com orientações para o time de desenvolvimento da empresa que executará as correções;

Ao final do teste, a empresa conseguiu realizar todas as correções indicadas, sendo aprovada.

Benefícios

Portanto, após a finalização do Pentest, a Vantico possibilitou os seguintes benefícios:

Gerar credibilidade ao estar de acordo com o PCI DSS;
Entregar evidências para aprovação no PCI DSS;
Reduzir suas chances de vazamentos de dados sensíveis;
Reduzir suas chances de danos à reputação da marca;
Evitar possíveis perdas financeiras.

Imagem: Benefícios trazidos pela execução do Pentest PCI DSS Compliance.

Conclusão

O Pentest é essencial para a aprovação no PCI DSS. Portanto, é essencial contar com um fornecedor de qualidade, especialista neste tipo de compliance.

Precisa executar um Pentest para PCI DSS? Clique aqui para falar conosco.

Siga-nos nas redes sociais para acompanhar nossos conteúdos.

7 estágios do ciclo de vida do gerenciamento de vulnerabilidades

7 fatores para analisar ao escolher um fornecedor de Pentest

A importância do Pentest para APIs e como funciona o teste

5 métricas de cibersegurança que você precisa analisar

3 desafios da cibersegurança e como o PTaaS pode ajudar

A importância do pentest para as healthtechs

A evolução do pentest e 3 motivos para investir em segurança cibernética

Pentest Mobile para Android e iOS

Pentest para Fornecedores SaaS

Pentest para APIs e aplicações Web

Pentest para Auditoria de Smart Contracts

Pentest Ágil para Pequenas Aplicações

Simulação de Phishing

Revisão Segura de Código

Scan de Vulnerabilidades

Gerenciamento de Superfície de Ataque

Programa de Divulgação de Vulnerabilidades

Emulação de Adversários

Modelagem de Ameaças

Threat Intelligence

newsletter

Inside Pentesting 2024 - Tendências e Insights

Case: Pentest PCI DSS Compliance para Fintech

Júlia Valim

Pentest PCI DSS Compliance

Principais desafios

Metodologias utilizadas

Planejamento

Vulnerabilidades encontradas

Benefícios

Conclusão

veja também

Outros conteúdos sobre Segurança Cibernética

Vamos começar algo incrível?

Empresa

Links úteis

Navegue

Conteúdos

WhatsApp

E-mail