Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

FAQ zu externen PCI ASV-Scans

Testen Sie Tenable.io Vulnerability Management

Führen Sie Ihren ersten Scan in weniger als 60 Sekunden durch.

Jetzt testen

PCI ASV

Was ist PCI-ASV?

PCI-ASV bezieht sich auf die Anforderung 11.2.2 der Payment Card Industry (PCI) Data Security Standard (DSS) Requirements and Security Assessment Procedures, das vierteljährliche externe Schwachstellenüberprüfungen erfordert, die von einem zugelassenen Scanning-Anbieter (ASV) durchgeführt (oder bescheinigt) werden müssen. Ein ASV ist ein Unternehmen, das über eine Reihe von Diensten und Tools („ASV Scanning Solution“) verfügt, um die Einhaltung der externen Scan-Anforderungen gemäß PCI DSS-Anforderung 11.2.2 zu überprüfen.

Welche Systeme sind für ASV-Scans geeignet?

Der PCI DSS erfordert eine Schwachstellenüberprüfung aller extern zugänglichen (internetfähigen) Systemkomponenten der zu überprüfenden Kunden, die Teil der Karteninhaberdatenumgebung sind, sowie aller extern zugewandten Systemkomponenten, die einen Pfad zur Karteninhaberdatenumgebung bereitstellen.

Was ist das ASV-Verfahren?

Die Hauptphasen einer ASV-Überprüfung bestehen aus:

  • Scoping: Wird vom Kunden durchgeführt, um alle internetfähigen Systemkomponenten, die Teil der Datenumgebung des Karteninhabers sind, einzubinden.
  • Scannen: unter Verwendung der Vorlage Tenable.io Schwachstellenmanagement PCI vierteljährlicher externer Scan
  • Berichterstattung/Abhilfe: Ergebnisse aus Zwischenberichten werden korrigiert.
  • Streitbeilegung:Kunde und ASV arbeiten zusammen, um strittige Prüfergebnisse zu dokumentieren und zu beheben.
  • Nochmalige Überprüfung (bei Bedarf): Bis ein Durchlaufscan erzeugt wird, der Streitigkeiten und Ausnahmen gelöst hat.
  • Abschließende Berichterstattung: Eingereicht und zugestellt auf sichere Art und Weise.

Wie häufig sind ASV-Scans erforderlich?

ASV-Schwachstellenscans sind mindestens vierteljährlich und nach jeder wesentlichen Änderung im Netzwerk erforderlich, wie z. B. nach Installationen neuer Systemkomponenten, Änderungen in der Netzwerktopologie, Änderungen der Firewall-Regeln oder nach Produkt-Upgrades.

Wie unterscheidet sich ein zugelassener Scanning-Anbieter (ASV) von einem qualifizierten Sicherheitsgutachter (QSA)?

Ein ASV führt speziell nur die in PCI DSS 11.2 beschriebenen externen Schwachstellenscans durch.Als QSA bezeichnet man ein Gutachterunternehmen, das vom PCI Security Standards Council (SSC) qualifiziert und geschult wurde, um allgemeine PCI DSS Prüfungen vor Ort durchzuführen.


Funktionalität der Tenable.io PCI ASV-Lösung

Ist Tenable ein zertifizierter PCI-ASV?

Ja.Tenable ist als zugelassener Scanning-Anbieter (ASV) qualifiziert, um externe Schwachstellen-Scans von mit dem Internet verbundenen Umgebungen (die zur Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten verwendet werden) von Händlern und Dienstleistern zu validieren. Der ASV-Qualifizierungsprozess besteht aus drei Teilen: Der erste Teil beinhaltet die Qualifizierung von Tenable Network Security als Anbieter.Der zweite Teil betrifft die Qualifizierung der Tenable-Mitarbeiter, die für die Remote-PCI-Scandienste zuständig sind.Der dritte Teil besteht aus dem Sicherheitstest der Tenable-Lösung für Remote-Scans (Tenable.io Vulnerability Management und Tenable.io PCI ASV).

Führt Tenable als zugelassener Scanning-Anbieter (ASV) die Scans tatsächlich durch?

ASVs können die Überprüfungen durchführen.Tenable ist jedoch darauf angewiesen, dass die Kunden ihre eigenen Scans mit der Vorlage PCI vierteljährlicher externer Scan durchführen.Diese Vorlage verhindert, dass Kunden Konfigurationseinstellungen ändern können, wie z. B. das Deaktivieren von Prüfungen auf Sicherheitsrisiken, das Zuweisen von Schweregraden, das Ändern von Scanparamenten usw.Kunden verwenden Cloud-basierte Scanner des Schwachstellenmanagements von Tenable.io, um ihre Internet-Umgebungen zu scannen und dann konforme Scan-Berichte zur Bescheinigung an Tenable zu senden.Tenable bescheinigt die Scan-Berichte, und der Kunde übergibt sie dann an seine Auftraggeber oder Zahlungsdienstleister gemäß den Vorgaben der Zahlungsdienstleister.

Wie unterscheidet sich das neue Produkt von dem bestehenden Produkt?

Zu den neuen oder verbesserten Funktionen gehören:

  • Eine einzige Benutzeroberfläche zum Scannen, Verwalten, Einreichen und Vervollständigen des ASV-Bescheinigungsprozesses.
  • Möglichkeit für mehr als eine Person, Streitigkeiten einzureichen und sie für die ASV-Zertifizierung zu senden.
  • Möglichkeit, die gleichen Streitigkeiten/Ausnahmen auf mehrere IPs anzuwenden.(Fähigkeit, Streitigkeiten auf Basis von Plugins statt nach Assets zu erstellen)
  • Möglichkeit, eine IP als außerhalb des Geltungsbereichs zu markieren
  • Möglichkeit der Kommentierung von Kompensationssteuerungen

Datenhoheit

Entspricht Tenable.io PCI-ASV den Anforderungen der EU an die Datenhoheit?

Schwachstellen-Daten sind keine EU DPD 95/46/EC-Daten, so dass die Anforderungen an den Datenaufbewahrungsort vom Kunden und nicht vom Gesetzgeber bestimmt werden.Staatliche EU-Organisationen könnten ihre eigenen Anforderungen an die Datenaufbewahrung haben, aber diese müssten von Fall zu Fall geprüft werden und sind wahrscheinlich kein Problem für PCI-ASV-Scans.


Tenable.io ASV Preise/Lizenz/Bestellung

Enthält Tenable.io Schwachstellenmanagement PCI-ASV-Lizenzen?

Ja, Tenable.io Schwachstellenmanagement enthält eine PCI-ASV-Lizenz für ein einzelnes, einzigartiges PCI-Asset.Einige Organisationen haben große Anstrengungen unternommen, um die Assets für PCI einzuschränken, oft durch Auslagerung von Zahlungsverarbeitungsfunktionen.Da diese Kunden nicht im PCI-Business agieren, hat Tenable den Einkauf und die Lizenzierung für sie vereinfacht.Ein Kunde kann sein Asset alle 90 Tage wechseln.

Wie ist Tenable.io PCI-ASV lizenziert?

Für Kunden mit mehr als einem einzigen, einzigartigen PCI-Asset wird die Tenable.io PCI ASV-Lösung als Add-on zu dem Abonnement des Schwachstellenmanagements von Tenable.io lizenziert.

Warum wird Tenable.io PCI-ASV nicht nach der Anzahl der internetfähigen PCI-Assets eines Kunden lizenziert?

Die Anzahl der internetfähigen Hosts, die sich innerhalb der Karteninhaberdatenumgebung (CDE) eines Unternehmens befinden oder einen Pfad zu dieser bereitstellen, kann sich häufig ändern, wodurch die Lizenzierung komplexer wird.Tenable hat sich für einen einfacheren Lizenzierungsansatz entschieden.

Wie viele Bescheinigungen darf ein Kunde pro Quartal abgeben?

Kunden können eine unbegrenzte Anzahl von vierteljährlichen Bescheinigungen einreichen.

Sind Test-/Bewertungskunden berechtigt, Tenable.io PCI-ASV zu bewerten?

Ja.Testkunden können die Vorlage „PCI Quarterly External Scan“ verwenden, um Assets zu scannen, Ergebnisse zu überprüfen und Konflikte zu erstellen.Sie können jedoch keine Scanberichte zur Bescheinigung einreichen.

Wie erfolgt die Überführung bestehender Kunden von Tenable.io Schwachstellenmanagement auf die neue Funktionalität?

Die neue Funktion wird am 24. Juli 2017 automatisch aktiviert, so dass Kunden sie für ihren nächsten PCI-ASV-Scan nutzen können.Für bestehende Kunden ist es nicht erforderlich, die neue PCI-ASV-Fähigkeit für mindestens ein Jahr zu lizenzieren.

Wie erfolgt der Wechsel von SecurityCenter-Kunden, die die aktuelle PCI-ASV-Funktionalität lizenziert haben, auf die neue Funktionalität?

SecurityCenter®-Kunden, die bereits External/PCI Scanning lizenziert haben, nutzen Tenable.io PCI-ASV, sobald es verfügbar ist.Bei der Erneuerung können diese Kunden einfach unter Verwendung ihrer bestehenden SKUs verlängern.Es kann für sie jedoch von Vorteil sein, stattdessen Tenable.io PCI-ASV zu lizenzieren.

Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

60 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie Ihre gesamten Assets mit unübertroffener Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an und führen Sie innerhalb von 60 Sekunden Ihren ersten Scan durch.

Kaufen Sie Tenable.io

Profitieren Sie von vollem Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie Ihre gesamten Assets mit unübertroffener Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

2.190,00 USD

Jetzt kaufen

Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

60 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an und führen Sie innerhalb von 60 Sekunden Ihren ersten Scan durch.

Tenable.io Web Application Scanning kaufen

Profitieren Sie von vollem Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie Ihre gesamten Assets mit unübertroffener Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security kaufen

60 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Integrieren Sie die Lösung in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) zur Unterstützung von DevOps-Praktiken, Stärkung der Sicherheit und Unterstützung der Einhaltung von Unternehmensrichtlinien.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Erfahren Sie mehr über Industrial Security