Pentest PCI-DSS 4.0 — Requirement 11.4 con QSA
Pentest allineato a PCI-DSS 4.0 req 11.4 (penetration testing) — interno + esterno + segmentation testing. Accettato da QSA in audit annuale e dopo modifica significativa.
Perché ora
Il dolore reale
Acquirer, gateway di pagamento, e-commerce che processa carte, fintech con TEF — PCI-DSS req 11.4 richiede pentest annuale e dopo ogni modifica significativa. Il QSA esamina il report con la lente. Scan camuffato non passa.
Norma e riferimento
/superficie-di-attacco
PCI-DSS 4.0
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
Req 11.4.1 — Metodologia documentata
Copertura PTES + OWASP + NIST SP 800-115 con criterio esplicito di pentest interno/esterno.
Req 11.4.2 — Pentest interno
Rete CDE, attacco da segmento in-scope, movimento laterale, escalation.
Req 11.4.3 — Pentest esterno
Perimetro WAN, esposizioni, applicazione web, API consumata da terminale/POS.
Req 11.4.4 — Modifica significativa
Pentest straordinario dopo modifica nel CDE, nuova applicazione, nuovo fornitore.
Req 11.4.5 — Segmentation testing
Validazione che il CDE è isolato da not-in-scope. Critico — fallimento qui amplia lo scope PCI.
Req 11.4.6 — Service provider
Per service provider PCI, pentest semestrale sui controlli di segmentazione.
Req 11.4.7 — Remediation e retest
Evidenza di correzione di finding sfruttabili + retest documentato.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Acquirer, gateway, e-commerce con carta presente. Pentest accettato da QSA riconosciuti.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programma di integrità
dei candidati pentester non supera il nostro Crivo
Sai chi avrà accesso al tuo ambiente?
L'NDA vale in tribunale. Non vale nel quotidiano. Prima del primo accesso, ogni nostro pentester passa background, profilo psicometrico e test di integrità.
- Verifica criminale, fiscale e professionale approfondita
- Valutazione psicometrica e profilo di rischio
- Test di integrità pratico con scenari controllati
- Team fisso — non rotativo, niente "sconosciuto a ogni ingaggio"
/faq
FAQ — PCI-DSS 4.0
PCI-DSS 4.0 ha cambiato qualcosa sul pentest?
Sì. La 4.0 ha separato esplicitamente metodologia (11.4.1), interno (11.4.2), esterno (11.4.3), post-modifica (11.4.4) e segmentation (11.4.5). Ha reso esplicita la richiesta di retest.
Il QSA accetta il report?
Sì. Modello PCI-aligned con scope CDE, segmentazione testata, retest documentato e PoC riproducibile.
Quanto dura?
Ingaggio tipico: 4-8 settimane. CDE di e-commerce piccolo: 3-4 settimane. CDE di acquirer con TEF + gateway: 6-10 settimane.
Come funziona segmentation testing?
Tentiamo di raggiungere il CDE da host not-in-scope. Se ci riusciamo, la segmentazione è fallita e lo scope PCI si espande.
/contatti
Richiedi un preventivo PCI-DSS 4.0
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.