El escáner ASV es un complejo de hardware y software que escanea los puntos de conexión de la red interna de una organización a los recursos de Internet.
El escaneo se realiza de acuerdo con los requisitos del estándar PCI DSS. Las organizaciones que brindan dicho servicio deben tener el estado requerido (PCI ASV).
El escaneo ASV es obligatorio para todas las organizaciones que aceptan tarjetas bancarias para el pago, por ejemplo, tiendas fuera de línea y en línea.
El escaneo ASV es obligatorio para todas las organizaciones que aceptan tarjetas bancarias para el pago, por ejemplo, tiendas fuera de línea y en línea.
Cumplimiento de PCI DSS
Las etapas del escaneo
El procedimiento de escaneo se divide condicionalmente en varias etapas.
- El cliente prepara la infraestructura empresarial para el escaneo. Identifica una parte de la infraestructura de red que pertenece al alcance del estándar PCI DSS.
- El día señalado, el auditor realiza una auditoría de acuerdo con los requisitos de la norma. Utiliza equipo especializado certificado para verificación.
- Al final del proceso, se le proporciona al cliente un documento apropiado sobre los resultados de la auditoría. También proporciona recomendaciones sobre cómo corregir vulnerabilidades.
Principio de escaneo
El escáner ASV se proporciona como un servicio de suscripción. El cliente se registra en el sitio web del proveedor de servicios y elige una de las opciones de servicio.
En el siguiente paso, el cliente establece un cronograma para el escaneo. Como regla general, el procedimiento se realiza una vez por trimestre. Especifique la dirección IP del sitio (si es blanco) o el nombre de dominio. Después de eso, el cliente paga por el servicio.
El escáner verifica las direcciones especificadas en busca de vulnerabilidades, el grado de riesgo y otros parámetros prescritos en el estándar PCI DSS. Si se encuentran vulnerabilidades, se proporcionará al cliente un informe sobre cada problema con una descripción detallada del riesgo, grado de amenaza, evaluación CVSS, código CVE y cómo solucionar el problema.
CVSS es un estándar de la industria de código abierto, en función del cual se evalúa el nivel de riesgo de cada vulnerabilidad. Una puntuación CVSS es un valor que se asigna a una vulnerabilidad en función del nivel de amenaza.
CVE (Vulnerabilidades y exposiciones comunes) es una lista global de amenazas y vulnerabilidades. A cada registro se le asigna un número único (código CVE).
El informe tiene una validez de 90 días calendario. Durante este período, el cliente está obligado a eliminar los errores encontrados y volver a escanear. Si no hay vulnerabilidades, se emite un certificado de cumplimiento del sistema de información con los requisitos de PCI DSS.