Skanowanie sieci zgodne z PCI DSS jest wykonywane przez firmę posiadającą certyfikat Approved Scanning Vendor (ASV) w celu wykrycia ewentualnych podatności w systemach. W przypadku, gdy jeden lub więcej systemów przechowujących, przetwarzających lub przesyłających dane kart płatniczych jest podłączonych do Internetu (lub możliwy jest dostęp zdalny), należy co kwartał przeprowadzać udokumentowane skanowanie sieci.
SC2labs świadczy usługi skanowania PCI ASV stosując akredytowane do PCI ASV rozwiazanie certyfikowane przez PCI Security Standards Council.
Zgodnie z wymaganiami standardu PCI DSS należy:
11.2 Przeprowadzać skanowania podatności sieci wewnętrznej i zewnętrznej co najmniej raz na kwartał oraz po każdej istotnej zmianie w sieci (takiej jak instalacja nowych składników systemu, zmiany w topologii sieci, modyfikacje reguł zapory sieciowej, aktualizacje produktów).
- 11.2.1: Przeprowadzać kwartalnie wewnętrzne skanowania podatności. Należy zająć się podatnościami i przeprowadzić ponowne skanowanie w celu sprawdzenia, czy wszystkie luki "wysokiego ryzyka" zostały usunięte zgodnie z rankingiem podatności podmiotu. Skanowanie musi być wykonywane przez wykwalifikowany personel.
- 11.2.2: Przeprowadzać kwartalne zewnętrzne skanowanie podatności, za pośrednictwem Approved Scanning Vendor (ASV) zatwierdzonego przez PCI SSC. Przeprowadzić ponowne skanowanie w razie potrzeby, aż do uzyskania pozytywnego wyniku.
- 11.2.3: Wykonać wewnętrzne i zewnętrzne skanowanie, oraz ponowne skanowanie w razie potrzeby, po każdej znaczącej zmianie. Skanowanie musi być wykonywane przez wykwalifikowany personel.
Audyty skanowania polegają na sprawdzeniu zewnętrznych, publicznie dostępnych zasobów IT (adresów IPv4 i/lub IPv6, sieci, domen itp.) przy użyciu ponad 150 000 nieinwazyjnych testów przeznaczonych dla różnych technologii, platform i aplikacji.
Skanowanie podatności sieci ma na celu wykrycie braków w architekturze i konfiguracji analizowanego systemu, które następnie mogłyby zostać wykorzystane do hackowania systemów.
Na główne fazy procesu skanowania PCI ASV składają się:
Wstępna telekonferencja, podczas której określimy zakres adresów/domen IP podlegający skanom ASV, przekażemy checklistę przed skanem oraz szczegóły odnośnie testu i zaplanujemy dogodny termin na przeprowadzenie pierwszego skanu PCI ASV.
-
Proces skanowania. Czas wykonania usługi PCI ASV zależy od rodzaju testowanego systemu, jego złożoności oraz liczby usług w zakresie. Po zakończeniu testu przekazujemy wyniki, na które składają sie poniższe raporty:
PCI ASV Attestation of Scan Compliance,
Raport szczegółowy PCI ASV Vulnerability,
PCI ASV Executive Summary Report.
Przegląd raportów i zidentyfikowane potencjalych luk. Wszystkie podatności są pogrupowane według ryzyka (standard Common Vulnerability Scoring System - CVSS) i oznaczone w najpopularniejszych standardach (OVAL, CVE) wraz z linkami do opisów wykrytych luk i biuletynów dostawców. Jeśli wynik skanowania PCI ASV jest z wynikiem "fail", należy przeprowadzić ponowne skanowanie w tym samym kwartale, aż do uzyskania statusu "pass". Dopuszczalne jest przedstawienie komentarzy z dowodami dla inżyniera PCI ASV do oceny uzyskania oznaczenia podatności jako False Positive lub Acceptable Use/Risk.
Otrzymanie atestacji ze skanowania PCI ASV ze statusem PASS. Po zakończeniu tego procesu skanowanie będzie wykonywane automatycznie co 90 dni. Na życzenie Klienta dopuszczalna jest modyfikacja zakresu oraz daty skanu.
Mogą Państwo również potrzebować: