Pentest PCI-DSS 4.0 — Requirement 11.4 con QSA
Pentest aderente a PCI-DSS 4.0 req 11.4 (penetration testing) — interno + externo + segmentation testing. Aceptado por QSA en auditoría anual y tras cambio significativo.
Por qué ahora
El dolor real
Adquirente, gateway de pago, e-commerce que procesa tarjeta, fintech con TEF — PCI-DSS req 11.4 exige pentest anual y tras cada cambio significativo. El QSA examina el reporte con lupa. Scan disfrazado no pasa. Scope CDE o segmentación mal hechos tampoco.
Norma y referencia
/superficie-de-ataque
PCI-DSS 4.0
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Req 11.4.1 — Metodología documentada
Cobertura PTES + OWASP + NIST SP 800-115 con criterio explícito interno/externo.
Req 11.4.2 — Pentest interno
Red CDE, ataque desde segmento in-scope, movimiento lateral, escalación.
Req 11.4.3 — Pentest externo
Perímetro WAN, exposiciones, aplicación web, API consumida por terminal/POS.
Req 11.4.4 — Cambio significativo
Pentest extraordinario tras cambio en CDE, nueva aplicación, nuevo proveedor.
Req 11.4.5 — Segmentation testing
Validación que el CDE está aislado de not-in-scope. Crítico — fallo aquí amplía el scope PCI.
Req 11.4.6 — Service provider
Para proveedor de servicio PCI, pentest semestral en controles de segmentación.
Req 11.4.7 — Remediación y retest
Evidencia de corrección de findings explotables + retest documentado.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Adquirentes, gateways, e-commerce con tarjeta presente. Pentest aceptado por QSAs reconocidos.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — PCI-DSS 4.0
¿PCI-DSS 4.0 cambió algo sobre pentest?
Sí. La 4.0 separó explícitamente metodología (11.4.1), interno (11.4.2), externo (11.4.3), post-cambio (11.4.4) y segmentation (11.4.5). Tornó explícita la exigencia de retest.
¿QSA acepta el reporte?
Sí. Modelo PCI-aligned con scope CDE, segmentación probada, retest documentado y PoC reproducible.
¿Cuánto dura?
Compromiso típico: 4-8 semanas. CDE de e-commerce pequeño: 3-4 semanas. CDE de adquirente con TEF + gateway: 6-10 semanas.
¿Cómo funciona segmentation testing?
Intentamos alcanzar el CDE desde hosts not-in-scope. Si lo logramos, la segmentación falló y el scope PCI se expande.
/contacto
Cotizar pentest PCI-DSS 4.0
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.