Facebook Google Plus Twitter LinkedIn YouTube RSS 菜单 搜索 资源 - 博客资源 - 网络研讨会资源 - 报告资源 - 活动icons_066 icons_067icons_068icons_069icons_070

PCI ASV External FAQ

试用 Tenable.io Vulnerability Management

在 60 秒内运行第一次扫描。

立即试用

PCI ASV

何为 PCI ASV?

PCI ASV 是指支付卡行业 (PCI) 数据安全标准 (DSS) 要求的规定 11.2.2,以及要求每季度进行一次外部漏洞扫描的安全评估程序,该程序须由经过批准的扫描供应商 (ASV) 执行(或证明)。ASV 是具有一组服务和工具(“ASV 扫描解决方案”)的组织,可验证对 PCI DSS 要求 11.2.2 外部扫描规定的遵守情况。

哪些系统属于 ASV 扫描的范围?

PCI DSS 要求对以下组件进行漏洞扫描:作为持卡人数据环境的一部分,为扫描客户所拥有或使用的一切外部可访问(面向互联网)系统组件;以及任何面向外部、为持卡人数据环境提供路径的系统组件。

ASV 流程是什么?

ASV 扫描的主要阶段包括:

  • 审查:由客户执行,以包括所有作为持卡人数据环境的一部分面向互联网的系统组件。
  • 扫描:使用 Tenable.io VM PCI 季度外部扫描模板
  • 报告/修复:对中期报告的结果进行修复。
  • 争议解决:客户和 ASV 携手共同记录和解决有争议的扫描结果。
  • 重新扫描(视需要):直到生成争议和异常得到解决的合格扫描。
  • 最终报告:以安全的方式提交并交付。

ASV 扫描需要多长时间进行一次?

ASV 漏洞扫描需要至少每季度进行一次,并在网络上发生以下任何重大改变后进行:例如新系统组件的安装、网络拓扑结构的改变、防火墙规则的修改或产品升级。

经过批准的扫描供应商 (ASV) 与合格安全评估商 (QSA) 有何不同?

ASV 仅执行 PCI DSS 11.2 中所述的特定外部漏洞扫描。QSA 是指经过 PCI 安全标准委员会 (SSC) 资格验证和培训、以执行一般 PCI DSS 现场评估的评估商公司。


Tenable.io PCI ASV Solution Capabilities

Tenable 是否为经过认证的 PCI ASV?

Yes. Tenable is qualified as an Approved Scanning Vendor (ASV) to validate external vulnerability scans of internet facing environments (used to store, process, or transmit cardholder data) of merchants and service providers. The ASV qualification process consists of three parts: the first involves the qualification of Tenable Network Security as a vendor. The second relates to the qualification of Tenable’s employees responsible for the remote PCI Scanning Services. The third consists of the security testing of Tenable’s remote scanning solution (Tenable.io Vulnerability Management and Tenable.io PCI ASV).

作为经过批准的扫描供应商 (ASV),Tenable 是否切实执行扫描?

ASV 可执行扫描。不过,Tenable 依赖于客户使用 PCI 季度外部扫描模板自行进行扫描。该模板可防止客户更改配置设定,例如禁用漏洞检查、分配严重级别、更改扫描参数等。客户可使用 Tenable.io VM 基于云的扫描器扫描其面向互联网的环境,然后向 Tenable 提交符合要求的扫描报告以供认证。Tenable 认证扫描报告后,客户可按照支付品牌的指示将其提交给收购方或支付品牌。

新产品与现行产品有何不同?

新型或改进功能包括:

  • 用于扫描/管理/提交/完成 ASV 认证流程的单一用户界面。
  • 可供超过一人上报争议并提交进行 ASV 认证。
  • 可对多个 IP 应用相同的争议/异常。(可基于插件而非资产创建争议)
  • 可将 IP 标记为超出范围
  • 可对补偿控制措施进行注释

数据主权

Tenable.io PCI ASV 是否符合欧盟数据主权要求?

漏洞数据并非欧盟 DPD 95/46/EC 数据,因此任何数据驻留要求均由客户而非监管机构提出。欧盟国家的政府组织可提出自己的驻留要求,但这些要求须根据具体情况逐一进行评估,而且可能并非是 PCI-ASV 扫描方面的问题。


Tenable.io ASV 的定价/许可/订购

Tenable.io VM 是否包含任何 PCI ASV 许可?

是的,Tenable.io VM 包含用于单一独特 PCI 资产的 PCI ASV 许可。某些组织大费周章地对 PCI 范围内的资产进行限制,一般是通过外包支付处理功能。由于这些客户可能“不从事 PCI 业务”,Tenable 已对其购买和许可流程进行简化。客户可以每 90 天变更一次资产。

Tenable.io PCI ASV 如何进行许可授权?

对于具有不止一种独特 PCI 资产的客户而言,Tenable.io PCI ASV 解决方案可作为 Tenable.io 漏洞管理订阅的附加项进行许可授权。

为何 Tenable.io PCI ASV 不根据客户面向互联网的 PCI 资产数量进行许可授权?

在某一实体的持卡人数据环境 (CDE) 内或向其提供路径的面向互联网的主机数量可能频繁变化,从而导致许可过程错综复杂。Tenable 选择使用更为简便的许可方法。

客户每季度可以提交多少份证明?

客户可以提交不限数量的季度证明。

进行试用/评估的客户是否有资格评估 Tenable.io PCI ASV?

Yes. An evaluation customer can use the PCI Quarterly External Scan template to scan assets, review results, and created disputes. However, they cannot submit scan reports for attestation.

现有 Tenable.io VM 客户如何转为使用新功能?

新功能将在 2017 年 7 月 24 日自动激活,客户可将其应用于下一次 PCI ASV 扫描。现有客户无需在至少一年的时间内授权新 PCI ASV 功能许可。

具有目前 PCI ASV 功能许可的 SecurityCenter 客户如何转为使用新功能?

已授权许可外部/PCI 扫描的 SecurityCenter® 客户在 Tenable.io PCI ASV 投入使用后即可开始应用。在续订时,这些客户可使用现有 SKU 轻松续费。不过,授权许可 Tenable.io PCI ASV 可能对他们更为有利。

免费试用 立即购买

试用 Tenable.io Vulnerability Management

免费试用 60 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册并在 60 秒内运行第一次扫描。

购买 Tenable.io Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65资产

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。