 Статья в журнале «Плас»: http://www.plusworld.ru/journal/page163_1242.php после которой я просто не мог не высказаться.
Дело в том, что авторы статьи, являясь скорее всего юристами, не совсем понимают, как таковую, специфику проведения тестов на проникновение. Авторы не учитывают такой крайне важный факт, что в процессе активного аудита или тестов на проникновение аудиторы НЕ ПОЛУЧАЮТ непосредственно доступ к данным. И это наш основной принцип проведения данных работ. Да, действительно аудиторы проникают на сервер (информационную систему, базу данных и т.д.), но при этом они ни в коем случае не изучают непосредственно пользовательские данные, которые хранятся на сервере – они им просто не нужны. При этом служба безопасности может включить на сервере протоколирование действий аудиторов, чтобы была гарантия того, что критичные данные не были прочитаны. В любом случае повторю, что аудитор ни в коем случае не изучает непосредственно данные – они ему не нужны, а кроме того – он просто хочет спать спокойно (даже несмотря на подписанное соглашение о конфиденциальности). Поэтому коллизия, описанная в статье, на практике отсутствует. Не говоря уже о том, что тест на проникновение (как внешний, так и внутренний) является абсолютно обязательным для соответствия PCI DSS и обсуждение вопроса необходимости его проведения в данном контексте представляет собой не более чем академический интерес.
Если же абстрагироваться от PCI DSS, то, например, тест на проникновение интернет-банкинга с использованием двух моделей нарушителя (аноним и пользователь системы) выполняется исключительно в тестовой среде, где нет реальных данных.
Ну а реплика в статье о, якобы, нарушении УК вызывает не более чем удивление.
Вывод. "Сложно найти черную кошку в темной комнате... особенно когда ее там нет". И от себя добавлю: "А тем более тогда, когда ты не знаешь, как именно выглядит кошка".
P.S.: данная заметка вызвала оживленную дискуссию на форуме: http://forum.pcidss.ru/index.php?topic=37.0 | 
А как Вы узнаёте, что получили доступ именно к данным держателя карты, а не к долговым распискам Раскольникова?
Давайте не кривить душой - доступ к ДДК в случае успешого теста Вы (как и любой другой аудитор) получаете и узнаёте об этом не по вторичным половым признакам.
Другое дело, что это абсолютно нормальная ситуация и претензии по поводу ознакомления в ходе проникновения (на мой взгляд) абсолютно абсурдны ("Скажи, кукушка - сколько мне жит осталось?...Ах, ты ещё и мои ПД на весь лес прокукукала?")
Он не за этим пришел, он ищет уязвимости компонентов информационной инфраструктуры. Фиксируется факт получения привилегий в отношении конкретной системы, позволяющих нарушить конфиденциальность, целостность или доступность обрабатываемых / передаваемых / хранимых данных. Сами перечисленные свойства при этом не нарушаются.
Ну нашёл аудитор уязвимости компонентов информационной инфраструктуры, ну зафиксировал факт получения привилегий в отношении конкретной системы, позволяющих нарушить конфиденциальность, целостность или доступность обрабатываемых / передаваемых / хранимых данных, ну перечисленные свойства при этом не нарушил.
Прекрасно, я это не оспариваю.
А как аудитор узнал, что он попал туда, куда нужно??? Может он зафиксировал уязвимость на сервере с поваренными рецептами, ему же не сказали в Банке: "Вот сервер с ДДК - ломай, удачи (неудачи)!"
Перед началом теста на проникновение определяется область аудита - scope. При внутреннем тесте это перечень серверов и рабочих станций, при внешнем - перечень внешних IP. Исходя из этих данных, аудитор начинает искать уязвимости и повышать привилегии. Любая найденная в области аудита уязвимость считается критичной и описывается в отчете.
Что конкретно хранится на сервере - поваренная книга или PAN аудитор не проверяет. :)
Если остались вопросы - можем перенести обсуждение в форум. Создайте тему.
Хотя тема и закрыта, возьму на себя смелость снова начать обсуждение и дождаться ОТВЕТА.
Раз понимание вопроса так и не пришло, попробую сформулировть немного подругому, как понимаю его сам.
По вашему: ВЫ как аудитор проведя тест на уязвимость - выявили её и получили допустим "права админа", итог- уязвимость есть, аудит не прошли!
По моему: Так а если при наличии "админских прав" вы все же получили доступ к ДДК, а они допустим зашифрованы, что дальше? Потери ДДК то не будет!
Вывод: из всех спланированных вами конкретных "областей аудита" в которых вы нашли уязвимости в итоге реальных потерь НЕТ!
Вопрос: КАК ВЫ УБЕЖДАЕТЕСЬ ЧТО ВЫ ПОЛУЧАЕТЕ ДОСТУП ИМЕННО К ТЕМ ДАННЫМ? (Например в их достоверности)
и еще: КОНЕЧНАЯ ЦЕЛЬ ПРОВЕРКИ, ПОЛУЧЕНИЯ ДОСТУПА К ДАННЫМ ИЛИ НАХОЖДЕНИЕ УЯЗВИМОСТЕЙ?
Еще раз - в ходе теста на проникновение анализируются все компоненты в области аудита, независимо от того, хранят они карточные данные или нет. Задача - получить доступ к компонентам и системам, а не найти карточные данные.
Совет PCI SSC однозначно определил цель теста на проникновение: "The goal of penetration testing is to determine whether unauthorized access to key systems and files can be achieved", рекомендую ознакомиться с документом, в котором изложены взгляды Совета на тест на проникновение: https://www.pcisecuritystandards.org/security_standards/docs/information_supplement_11.3.pdf.
Если у Вас остались вопросы относительно пентеста, предлагаю Вам завести новую тему на форуме, чтобы их обсудить.
Напомню про тривиальное повседневное ASV-сканирование. Его не пройти не то что в случае зияющей дыры (и тем более ее реализации в случае пентеста); а даже в случае невысокой критичности уязвимости по CVE (например, старая версия SSL - это мы уже здесь обсуждали). Поэтому подход Совета в плане пентеста совершенно верный. Я вообще не очень понимаю природу этого заблуждения про карточные данные и пентест.
Совет совершенно справедливо крайне внимательно относится в любым уязвимостям в святая святых - в процессинге. Поэтому, опять же вспоминая критерии ASV-сканирования, ЛЮБАЯ уязвимость, которая привела при пентесте к получению админских прав на ключевых ресурсах, это крайне серьезно (в независимости смог ли аудитор в итоге прочитать карточные данные или нет).
прошу