FAQ esterne su PCI ASV

Il termine PCI ASV fa riferimento al requisito 11.2.2 dei requisiti standard di sicurezza dei dati dell'industria delle carte di pagamento (Payment Card Industry Data Security Standard, PCI DSS) e delle procedure di valutazione della sicurezza che richiedono scansioni trimestrali delle vulnerabilità esterne, che devono essere eseguite (o attestate) da un fornitore di scansioni approvato (Approved Scanning Vendor, ASV). Un ASV è un'organizzazione che fornisce una serie di servizi e strumenti ("Soluzione di scansione ASV") per convalidare la conformità al requisito di scansione esterna del requisito 11.2.2 PCI DSS.

Il PCI DSS richiede la scansione delle vulnerabilità di tutti i componenti di sistema accessibili dall'esterno (con connessione a Internet) posseduti o utilizzati dal cliente della scansione che fanno parte dell'ambiente dei dati del titolare della carta, nonché di qualsiasi componente di sistema esterno che fornisca un percorso verso l'ambiente dei dati del titolare della carta.

Le fasi principali di una scansione ASV sono:

• Controllo del contenuto: eseguito dal cliente per includere tutti i componenti di sistema connessi a Internet che fanno parte dell'ambiente dei dati del titolare della carta
• Scansione: utilizzando i modelli specifici di Tenable Vulnerability Management PCI e WAS. Più sezioni CDE (Cardholder Data Environment) possono essere sottoposte a scansione singolarmente
• Unione di più scansioni in un'unica attestazione
• Reporting/correzione: i risultati dei report intermedi vengono corretti
• Risoluzione della disputa: cliente e ASV (Tenable) collaborano per documentare e risolvere i risultati di scansione contestati
• Ripetizione della scansione (se necessario): fino a quando non viene generata una scansione che risolve controversie ed eccezioni
• Unione di più scansioni in un'unica attestazione
• Report finale: inviato e consegnato in modo sicuro

Le scansioni di vulnerabilità ASV vengono richieste almeno trimestralmente e dopo qualsiasi cambiamento significativo nella rete, come nuove installazioni di componenti di sistema, cambiamenti nella topologia di rete, modifiche alle regole firewall o aggiornamenti del prodotto.

Un ASV è preposto all'esecuzione specifica ed esclusiva delle scansioni di vulnerabilità esterne descritte in PCI DSS 11.2. Con il termine QSA invece si fa riferimento a una società di valutazione che è stata qualificata e format dal PCI Security Standards Council (SSC) per eseguire valutazioni generali PCI DSS in loco.

Sì. Tenable è un fornitore di scansioni approvato (ASV) qualificato e in quanto tale può convalidare le scansioni di vulnerabilità esterne degli ambienti Internet (utilizzati per archiviare, elaborare o trasmettere i dati dei titolari di carta) di commercianti e fornitori di servizi. Il processo di qualificazione ASV è composto da tre parti: la prima prevede la qualificazione di Tenable Network Security come fornitore. La seconda riguarda la qualificazione dei dipendenti di Tenable responsabili dei servizi di scansione PCI da remoto. La terza è costituita dai test di sicurezza della soluzione di scansione remota di Tenable (Tenable Vulnerability Management e Tenable PCI ASV).

Gli ASV potrebbero eseguire le scansioni. Tuttavia, Tenable si affida ai clienti per eseguire le proprie scansioni utilizzando il modello di scansione esterna trimestrale PCI. Questo modello impedisce ai clienti di modificare le impostazioni di configurazione, come la disattivazione dei controlli di vulnerabilità, l'assegnazione di livelli di gravità, l'alterazione dei parametri di scansione, ecc... I clienti utilizzano gli scanner basati su cloud di Tenable Vulnerability Management per eseguire la scansione degli ambienti connessi a Internet e quindi inviare rapporti di scansione conformi a Tenable per l'attestazione. Tenable attesta i report di scansione ricevuti, quindi il cliente li invia ai propri acquirenti o marchi di pagamento come indicato dai marchi di pagamento.

I dati sulla vulnerabilità non rientrano tra i dati protetti dalla Direttiva 95/46/CE, quindi qualsiasi requisito di residenza dei dati può essere stabilito direttamente dal cliente e non per conformità normativa. Le organizzazioni governative statali dell'UE potrebbero avere i propri requisiti di residenza dei dati, ma questi dovrebbero essere valutati caso per caso e probabilmente non sarebbero un problema per le scansioni PCI-ASV.

Sì, Tenable Vulnerability Management include una licenza PCI ASV per un singolo asset PCI univoco. Alcune organizzazioni si sono impegnate a limitare gli asset nell'ambito PCI, spesso esternalizzando le funzioni di elaborazione dei pagamenti. Poiché questi clienti sono probabilmente "non nel business PCI", Tenable ha semplificato i loro acquisti e licenze. Un cliente può modificare il proprio asset ogni 90 giorni.

Per i clienti che dispongono di più di un singolo asset PCI univoco, la soluzione Tenable PCI ASV è concessa in licenza come componente aggiuntivo per gli abbonamenti Tenable Vulnerability Management.

Il numero di host connessi a Internet che si trovano all'interno o forniscono un percorso verso l'ambiente dei dati del titolare della carta (Cardholder Data Environment, CDE) può cambiare frequentemente, creando così complessità nelle licenze. Tenable ha scelto di utilizzare un approccio all'emissione delle licenze molto più semplice.

I clienti possono inviare un numero illimitato di attestazioni trimestrali.

Sì. Un cliente in fase di valutazione può utilizzare il modello di scansione esterna trimestrale PCI per eseguire la scansione delle risorse e analizzare i risultati. Non ha però la possibilità di inviare i report sulle scansioni per l'attestazione.

La nuova funzionalità è stata attivata automaticamente il 24 luglio 2017 e i clienti hanno potuto utilizzarla per la loro successiva scansione PCI ASV. I clienti attuali non avranno bisogno di concedere in licenza la nuova funzionalità PCI ASV per almeno un anno.

I clienti di SecurityCenter® che hanno già concesso in licenza External/PCI Scanning inizieranno a utilizzare Tenable PCI ASV non appena sarà disponibile. Al momento del rinnovo, questi clienti possono procedere utilizzando semplicemente gli SKU esistenti. Tuttavia, potrebbe essere a loro vantaggio concedere invece in licenza Tenable PCI ASV.