FAQ zu externen PCI ASV-Scans
Testen Sie Tenable Vulnerability Management
Führen Sie Ihren ersten Scan in weniger als 60 Sekunden durch.
PCI ASV
Was ist PCI ASV?
PCI ASV bezieht sich auf die Anforderung 11.2.2 der Payment Card Industry (PCI) Data Security Standard (DSS) Requirements and Security Assessment Procedures, das vierteljährliche externe Schwachstellenüberprüfungen erfordert, die von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt (oder bescheinigt) werden müssen. Ein ASV ist ein Unternehmen, das über eine Reihe von Diensten und Tools („ASV Scanning Solution“) verfügt, um die Einhaltung der externen Scan-Anforderungen gemäß PCI DSS-Anforderung 11.2.2 zu überprüfen.
Welche Systeme sind für ASV-Scans geeignet?
Der PCI DSS erfordert eine Schwachstellenüberprüfung aller extern zugänglichen (internetfähigen) Systemkomponenten der zu überprüfenden Kunden, die Teil der Karteninhaberdatenumgebung sind, sowie aller extern zugewandten Systemkomponenten, die einen Pfad zur Karteninhaberdatenumgebung bereitstellen.
Was ist das ASV-Verfahren?
Die Hauptphasen einer ASV-Überprüfung bestehen aus:
- Scoping: Wird vom Kunden durchgeführt, um alle internetfähigen Systemkomponenten, die Teil der Datenumgebung des Karteninhabers sind, einzubinden.
- Scannen: Verwendung der spezifischen PCI- und WAS-Vorlagen von Tenable Vulnerability Management. Mehrere CDE-Abschnitte (Cardholder Data Environment/Karteninhaberdaten-Umgebung) können einzeln gescannt werden.
- Zusammenführung mehrerer Scans in einer einzigen Bescheinigung
- Berichterstattung/Abhilfe: Ergebnisse aus Zwischenberichten werden korrigiert.
- Streitbeilegung: Kunde und ASV (Tenable) arbeiten gemeinsam daran, strittige Prüfergebnisse zu dokumentieren und eine Problemlösung zu finden.
- Nochmalige Überprüfung (bei Bedarf): Bis ein Durchlaufscan erzeugt wird, der Streitigkeiten und Ausnahmen gelöst hat.
- Zusammenführung mehrerer Scans in einer einzigen Bescheinigung
- Abschließende Berichterstattung: Eingereicht und zugestellt auf sichere Art und Weise.
Wie häufig sind ASV-Scans erforderlich?
ASV-Schwachstellenscans sind mindestens vierteljährlich und nach jeder wesentlichen Änderung im Netzwerk erforderlich, wie z. B. nach Installationen neuer Systemkomponenten, Änderungen in der Netzwerktopologie, Änderungen der Firewall-Regeln oder nach Produkt-Upgrades.
Wie unterscheidet sich ein zugelassener Scanning-Anbieter (ASV) von einem qualifizierten Sicherheitsgutachter (QSA)?
Ein ASV führt speziell nur die in PCI DSS 11.2 beschriebenen externen Schwachstellenscans durch. Als QSA bezeichnet man ein Gutachterunternehmen, das vom PCI Security Standards Council (SSC) qualifiziert und geschult wurde, um allgemeine PCI DSS Prüfungen vor Ort durchzuführen.
Ist Tenable ein zertifizierter PCI ASV?
Ja. Tenable ist als zugelassener Scanning-Anbieter (ASV) qualifiziert, um externe Schwachstellen-Scans von mit dem Internet verbundenen Umgebungen (die zur Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten verwendet werden) von Händlern und Dienstleistern zu validieren. Der ASV-Qualifizierungsprozess besteht aus drei Teilen: Der erste Teil beinhaltet die Qualifizierung von Tenable Network Security als Anbieter. Der zweite Teil betrifft die Qualifizierung der Tenable-Mitarbeiter, die für die Remote-PCI-Scandienste zuständig sind. Der dritte Teil besteht aus dem Sicherheitstest der Tenable-Lösung für Remote-Scans (Tenable Vulnerability Management und Tenable PCI ASV).
Führt Tenable als zugelassener Scanning-Anbieter (ASV) die Scans tatsächlich durch?
Datenhoheit
Erfüllt Tenable PCI ASV die Anforderungen an die Datenhoheit der EU?
Schwachstellen-Daten sind keine EU DPD 95/46/EC-Daten, so dass die Anforderungen an den Datenaufbewahrungsort vom Kunden und nicht vom Gesetzgeber bestimmt werden. Staatliche EU-Organisationen könnten ihre eigenen Anforderungen an die Datenaufbewahrung haben, aber diese müssten von Fall zu Fall geprüft werden und sind wahrscheinlich kein Problem für PCI ASV-Scans.
Tenable Vulnerability Management ASV Preise/Lizenz/Bestellung
Beinhaltet Tenable Vulnerability Management Lizenzen für PCI ASV?
Ja, Tenable Vulnerability Management beinhaltet eine PCI ASV-Lizenz für ein einzelnes, eindeutiges PCI-Asset. Einige Unternehmen haben große Anstrengungen unternommen, um die Assets für PCI einzuschränken, oftmals durch Auslagerung von Zahlungsverarbeitungsfunktionen. Da diese Kunden als „nicht im PCI-Business tätig“ eingeordnet werden können, hat Tenable den Kauf und die Lizenzierung für sie vereinfacht. Ein Kunde kann sein Asset alle 90 Tage ändern.
Wie wird Tenable PCI ASV lizenziert?
Für Kunden mit mehr als einem einzigen, eindeutigen PCI-Asset wird die Tenable PCI ASV-Lösung als Add-on zur Subscription von Tenable Vulnerability Management lizenziert.
Warum wird Tenable PCI ASV nicht nach der Anzahl der mit dem Internet verbundenen PCI-Assets eines Kunden lizenziert?
Die Anzahl der internetfähigen Hosts, die sich innerhalb der Karteninhaberdatenumgebung (CDE) eines Unternehmens befinden oder einen Pfad zu dieser bereitstellen, kann sich häufig ändern, wodurch die Lizenzierung komplexer wird. Tenable hat sich für einen einfacheren Lizenzierungsansatz entschieden.
Wie viele Bescheinigungen darf ein Kunde pro Quartal abgeben?
Kunden können eine unbegrenzte Anzahl von vierteljährlichen Bescheinigungen einreichen.
Sind Test-/Evaluierungskunden berechtigt, Tenable PCI ASV zu testen?
Ja. Testkunden können die Vorlage „PCI Quarterly External Scan“ verwenden, um Assets zu scannen und Ergebnisse zu überprüfen. Sie können jedoch keine Scanberichte zur Bescheinigung einreichen.
Wie werden bestehende Kunden von Tenable Vulnerability Management auf die neue Funktion umgestellt?
Die neue Funktion wird am 24. Juli 2017 automatisch aktiviert, so dass Kunden sie für ihren nächsten PCI ASV-Scan nutzen können. Für bestehende Kunden ist es nicht erforderlich, die neue PCI ASV-Funktion für mindestens ein Jahr zu lizenzieren.
Wie erfolgt der Wechsel von SecurityCenter-Kunden, die die aktuelle PCI-ASV-Funktionalität lizenziert haben, auf die neue Funktionalität?
SecurityCenter®-Kunden, die bereits External/PCI Scanning lizenziert haben, können Tenable PCI ASV nutzen, sobald es verfügbar ist. Zum Verlängerungstermin können diese Kunden ihre Lizenz einfach unter Verwendung ihrer bestehenden SKUs verlängern. Es könnte für sie jedoch von Vorteil sein, stattdessen Tenable PCI ASV zu lizenzieren.
- Tenable Vulnerability Management