FAQ esterne su PCI ASV
Prova Tenable Vulnerability Management
Esegui la tua prima scansione in meno di 60 secondi.
PCI ASV
Che cosa si intende per PCI ASV?
Il termine PCI ASV fa riferimento al requisito 11.2.2 dei requisiti standard di sicurezza dei dati dell'industria delle carte di pagamento (Payment Card Industry Data Security Standard, PCI DSS) e delle procedure di valutazione della sicurezza che richiedono scansioni trimestrali delle vulnerabilità esterne, che devono essere eseguite (o attestate) da un fornitore di scansioni approvato (Approved Scanning Vendor, ASV). Un ASV è un'organizzazione che fornisce una serie di servizi e strumenti ("Soluzione di scansione ASV") per convalidare la conformità al requisito di scansione esterna del requisito 11.2.2 PCI DSS.
Quali sistemi rientrano nell'ambito della scansione ASV?
Il PCI DSS richiede la scansione delle vulnerabilità di tutti i componenti di sistema accessibili dall'esterno (con connessione a Internet) posseduti o utilizzati dal cliente della scansione che fanno parte dell'ambiente dei dati del titolare della carta, nonché di qualsiasi componente di sistema esterno che fornisca un percorso verso l'ambiente dei dati del titolare della carta.
Che cosa prevede il processo ASV?
Le fasi principali di una scansione ASV sono:
- Controllo del contenuto: eseguito dal cliente per includere tutti i componenti di sistema connessi a Internet che fanno parte dell'ambiente dei dati del titolare della carta
- Scansione: utilizzando i modelli specifici di Tenable Vulnerability Management PCI e WAS. Più sezioni CDE (Cardholder Data Environment) possono essere sottoposte a scansione singolarmente
- Unione di più scansioni in un'unica attestazione
- Reporting/correzione: i risultati dei report intermedi vengono corretti
- Risoluzione della disputa: cliente e ASV (Tenable) collaborano per documentare e risolvere i risultati di scansione contestati
- Ripetizione della scansione (se necessario): fino a quando non viene generata una scansione che risolve controversie ed eccezioni
- Unione di più scansioni in un'unica attestazione
- Report finale: inviato e consegnato in modo sicuro
Con quale frequenza è necessario effettuare le scansioni ASV?
Le scansioni di vulnerabilità ASV vengono richieste almeno trimestralmente e dopo qualsiasi cambiamento significativo nella rete, come nuove installazioni di componenti di sistema, cambiamenti nella topologia di rete, modifiche alle regole firewall o aggiornamenti del prodotto.
In che modo un fornitore di scansioni approvato (ASV) è diverso da un valutatore qualificato della sicurezza (Qualified Security Assessor, QSA)?
Un ASV è preposto all'esecuzione specifica ed esclusiva delle scansioni di vulnerabilità esterne descritte in PCI DSS 11.2. Con il termine QSA invece si fa riferimento a una società di valutazione che è stata qualificata e format dal PCI Security Standards Council (SSC) per eseguire valutazioni generali PCI DSS in loco.
Tenable è un ASV PCI certificato?
Sì. Tenable è un fornitore di scansioni approvato (ASV) qualificato e in quanto tale può convalidare le scansioni di vulnerabilità esterne degli ambienti Internet (utilizzati per archiviare, elaborare o trasmettere i dati dei titolari di carta) di commercianti e fornitori di servizi. Il processo di qualificazione ASV è composto da tre parti: la prima prevede la qualificazione di Tenable Network Security come fornitore. La seconda riguarda la qualificazione dei dipendenti di Tenable responsabili dei servizi di scansione PCI da remoto. La terza è costituita dai test di sicurezza della soluzione di scansione remota di Tenable (Tenable Vulnerability Management e Tenable PCI ASV).
In qualità di fornitore di scansioni approvato (ASV), Tenable esegue effettivamente le scansioni?
Sovranità dei dati
Tenable PCI ASV è conforme ai requisiti di sovranità dei dati dell'UE?
I dati sulla vulnerabilità non rientrano tra i dati protetti dalla Direttiva 95/46/CE, quindi qualsiasi requisito di residenza dei dati può essere stabilito direttamente dal cliente e non per conformità normativa. Le organizzazioni governative statali dell'UE potrebbero avere i propri requisiti di residenza dei dati, ma questi dovrebbero essere valutati caso per caso e probabilmente non sarebbero un problema per le scansioni PCI-ASV.
Prezzi/licenze/ordini di Tenable Vulnerability Management ASV
Tenable Vulnerability Management include eventuali licenze PCI ASV?
Sì, Tenable Vulnerability Management include una licenza PCI ASV per un singolo asset PCI univoco. Alcune organizzazioni si sono impegnate a limitare gli asset nell'ambito PCI, spesso esternalizzando le funzioni di elaborazione dei pagamenti. Poiché questi clienti sono probabilmente "non nel business PCI", Tenable ha semplificato i loro acquisti e licenze. Un cliente può modificare il proprio asset ogni 90 giorni.
Come viene concesso in licenza Tenable PCI ASV?
Per i clienti che dispongono di più di un singolo asset PCI univoco, la soluzione Tenable PCI ASV è concessa in licenza come componente aggiuntivo per gli abbonamenti Tenable Vulnerability Management.
Perché Tenable PCI ASV non è concesso in licenza in base al numero di asset PCI con connessione Internet di un cliente?
Il numero di host connessi a Internet che si trovano all'interno o forniscono un percorso verso l'ambiente dei dati del titolare della carta (Cardholder Data Environment, CDE) può cambiare frequentemente, creando così complessità nelle licenze. Tenable ha scelto di utilizzare un approccio all'emissione delle licenze molto più semplice.
Quante attestazioni può inviare un cliente a trimestre?
I clienti possono inviare un numero illimitato di attestazioni trimestrali.
I clienti di soluzioni di prova/valutazione sono idonei a valutare Tenable PCI ASV?
Sì. Un cliente in fase di valutazione può utilizzare il modello di scansione esterna trimestrale PCI per eseguire la scansione delle risorse e analizzare i risultati. Non ha però la possibilità di inviare i report sulle scansioni per l'attestazione.
In che modo i clienti esistenti di Tenable Vulnerability Management passeranno alla nuova funzionalità?
La nuova funzionalità è stata attivata automaticamente il 24 luglio 2017 e i clienti hanno potuto utilizzarla per la loro successiva scansione PCI ASV. I clienti attuali non avranno bisogno di concedere in licenza la nuova funzionalità PCI ASV per almeno un anno.
In che modo i clienti SecurityCenter che hanno concesso in licenza l'attuale funzionalità PCI ASV passeranno alla nuova funzionalità?
I clienti di SecurityCenter® che hanno già concesso in licenza External/PCI Scanning inizieranno a utilizzare Tenable PCI ASV non appena sarà disponibile. Al momento del rinnovo, questi clienti possono procedere utilizzando semplicemente gli SKU esistenti. Tuttavia, potrebbe essere a loro vantaggio concedere invece in licenza Tenable PCI ASV.