Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Preguntas frecuentes sobre Tenable.io

Pruebe Tenable.io Vulnerability Management

Realice su primer escaneo en menos de 60 segundos.

Pruebe ahora

Preguntas generales

¿Qué es Tenable.io™?

Tenable.io es la primera plataforma de gestión de vulnerabilidades en la nube desarrollada para los activos de TI modernos de la actualidad, como la nube, contenedores y aplicaciones web.

Tenable.io ofrece claridad a su postura en cuanto a seguridad y cumplimiento.Desarrollada en función de la tecnología líder Nessus® de Tenable, Tenable.io ofrece un enfoque nuevo y basado en activos que rastrea con precisión sus recursos, mientras se adapta a activos dinámicos como la nube y contenedores.Para maximizar la visibilidad e información, Tenable.io prioriza de manera eficaz sus vulnerabilidades mientras se integra sin complicaciones a su entorno.

Tenable.io ofrece aplicaciones que abordan necesidades de seguridad específicas, entre las que podemos mencionar Tenable.io Vulnerability Management, Tenable.io Web Application Scanning y Tenable.io Container Security. Las licencias para las aplicaciones Tenable.io se pueden conceder de forma individual; no existen requisitos previos o requisitos de compra conjunta.

¿Cómo puedo encontrar más información sobre Tenable.io?

Para obtener más información sobre Tenable.io, visite la página de productos de Tenable.io, asista a un próximo seminario web o póngase en contacto con su socio certificado de Tenable o representante de Tenable.

¿Cómo puedo evaluar las aplicaciones Tenable.io?

Regístrese para una evaluación gratuita de Tenable.io visitando http://www.tenable.com/how-to-buy

¿Cómo puedo comprar las aplicaciones Tenable.io?

Puede comprar el producto trabajando con su socio certificado de Tenable local, poniéndose en contacto con su representante de Tenable o visitando tenable.com.

¿Puedo obtener licencias de las aplicaciones Tenable.io de manera individual?

Sí. Las licencias de las aplicaciones Tenable.io pueden concederse de manera individual.  Por ejemplo, las licencias de Tenable.io Container Security y Tenable.io Web Application Scanning pueden concederese de forma particular, sin Tenable.io Vulnerability Management.

¿Cómo se establece el precio y se concede la licencia de Tenable.io Vulnerability Management?

La licencia de Tenable.io Vulnerability Management se otorga mediante una suscripción anual y su costo depende de la cantidad de activos en vez de direcciones IP.Esto permite que los cliente adopten nuevas tecnologías como la nube sin el miedo que duplicación.

Para obtener más información sobre precios y concesión de licencias, consulte la sección a continuación.

¿Cómo se define un activo?

Un activo es una entidad que se puede analizar.Ejemplos de activos incluyen computadoras de escritorio, computadoras portátiles, servidores, dispositivos de almacenamiento, dispositivos en red, teléfonos, tabletas, máquinas virtuales, instancias en la nube y contenedores.

Para obtener más información sobre precios y concesión de licencias, consulte la sección a continuación.

¿Cómo se establece el precio y se concede la licencia de otras aplicaciones Tenable.io?

La licencia de tanto Tenable.io Container Security como Web Application Scanning se conceden mediante suscripción anual y su precio se determina por la cantidad de activos.El precio de Tenable.io Container Security se establece por el volumen total de almacenamiento de capas de imágenes de contenedores exclusivos evaluadas por el producto; y el costo de Tenable.io Web Application Scanning se fija en función de la cantidad total de nombres de dominio totalmente calificados (FQDN) evaluados por el producto.

Para obtener más información sobre precios y concesión de licencias, consulte la sección a continuación.

¿Tenable ofrece un acuerdo de nivel de servicio (SLA) para Tenable.io?

Sí, Tenable ofrece la primera garantía de tiempo de actividad de la gestión de vulnerabilidades en la industria mediante un sólido acuerdo de nivel de servicio (SLA) para Tenable.io.Se ofrecen créditos de servicio si no se cumple con el SLA, al igual que lo hacen proveedores líderes del servicio de nube como Amazon Web Services.

¿Dónde puedo encontrar información sobre Tenable.io?

La documentación técnica de todos los productos Tenable, incluso Tenable.io, se puede encontrar en https://docs.tenable.com/

¿Qué direcciones IP usa Tenable para el escaneo desde la nube?

De forma predeterminada, Tenable.io está configurada con Escáneres de nube específicos de la región.Para obtener más información, consulte nuestra documentación.

¿El lanzamiento de Tenable.io afecta a SecurityCenter/SecurityCenter CV?

No. No existe ningún impacto en SecurityCenter/SecurityCenter CV o en nuestros clientes que emplean estos productos. Ya que Tenable.io es la evolución de nuestra solución de gestión de vulnerabilidades basada en la nube, tenemos un compromiso sólido y constante con SecurityCenter.

¿Puedo usar tanto SecurityCenter como Tenable.io?

Sí. Puede usar ambas soluciones, y esperamos que muchos clientes de SecurityCenter/SecurityCenter CV estén interesados en usar Tenable.io Web Application Scanning, Tenable.io PCI/ASV o Tenable.io Container Security junto con SecurityCenter.

¿Puedo cambiar de SecurityCenter/SecurityCenter CV a Tenable.io?

Sí. En el caso de clientes que estén interesados, existen una gran gama de opciones para migrar sin problemas desde SecurityCenter a Tenable.io, con una asistencia técnica completa por parte de Tenable o su socio certificado. Para obtener más información, póngase en contacto con su Socio certificado de Tenable o representante de Tenable.

¿Qué es Tenable.io Web Application Scanning?

Tenable.io Web Application Scanning ofrece escaneo integral de vulnerabilidades para aplicaciones web modernas.Su cobertura precisa en materia de vulnerabilidades minimiza falsos positivos y negativos, lo que garantiza que los equipos de seguridad comprendan los verdaderos riesgos para la seguridad en sus aplicaciones web.

El producto ofrece escaneo externo seguro que garantiza que las aplicaciones web de producción, incluso aquellas desarrolladas con marcos HTML5 y AJAX, no sean objeto de interrupción o retraso.Cuando se identifican problemas, los equipos de seguridad pueden ver una plataforma visual intuitiva que presenta la información necesaria para evaluar y gestionar vulnerabilidades.

¿Dónde puedo encontrar más información o evaluar Tenable.io Web Application Scanning?

Para obtener más información sobre Tenable.io Web Application Scanning, visite la página de productos de Tenable.io.Regístrese para una evaluación sin cargo visitando tenable.com/try-was o póngase en contacto con su socio certificado de Tenable o representante de Tenable para obtener más información.

¿El producto escanea el código fuente o realiza análisis estático?

No. Tenable.io Web Application Scanning es una solución de pruebas dinámicas de la seguridad de la aplicación (DAST) que prueba una aplicación web “desde fuera” cuando está funcionando en un entorno de prueba o de producción.

¿Qué es Tenable.io Container Security?

Como la única oferta de seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades, Tenable.io™ Container Security monitorea de manera continua imágenes de contenedores para detectar vulnerabilidades, malware y el cumplimiento con la política empresarial. Al brindar seguridad en el proceso de desarrollo de contenedores desde un primer momento, las organizaciones puede lograr visibilidad en los riesgos para la seguridad ocultos presentes en contenedores y remediarlos antes de que llegue a producción, sin desacelerar ciclos de innovación.

En función de la tecnología FlawCheck, Tenable.io Container Security almacena imágenes de contenedores y las escanea a medida que se desarrollan.Ofrece detección de vulnerabilidades y malware, junto con el monitoreo continuo de imágenes de contenedores.Mediante la incorporación a los sistemas de integración continua y lanzamiento continuo (CI/CD) que desarrollan imágenes de contenedores, Tenable.io Container Security garantiza que cada contenedor que llegue a producción sea seguro y cumpla con la política empresarial.

¿Dónde puedo encontrar más información o evaluar Tenable.io Container Security?

Para obtener más información sobre Tenable.io Container Security, visite la página de productos de Tenable.io.Regístrese para una evaluación sin cargo en tenable.com/try-container o póngase en contacto con su socio certificado de Tenable o representante de Tenable para obtener más información.

Preguntas sobre Elastic Asset Licensing

Elastic Asset Licensing, integrada en Tenable.io Vulnerability Management (VM), es una innovación que alinea la concesión de licencias para la gestión de vulnerabilidades con los entornos elásticos de TI de la actualidad.Elastic Asset Licensing evita la duplicación de activos que tienen varias direcciones IP o cambiantes.Además, reclama automáticamente licencias de activos que no se han escaneado recientemente, incluso activos retirados y aquellos que se han escaneado de manera inadvertida.

¿Qué es Tenable.io VM Elastic Asset Licensing?

Elastic Asset Licensing asocia Tenable con clientes a fin de proteger de manera rentable sus redes.Incluye las siguientes características:

  • Activos no direcciones IP:Tenable.io Vulnerability Management analiza varios atributos de activos, no solo direcciones IP, para identificar un activo.Un algoritmo de uso exclusivo empareja activos recién descubiertos con activos ya descubiertos para eliminar la duplicación y garantizar un informe más preciso en cuanto a vulnerabilidades.
  • Equilibrado, no concesión de licencias en valores máximos:Tenable.io Vulnerability Management asigna licencias solo a activos que se han visto en los 90 días anteriores.Reclama automáticamente licencias par activos que se han sacado de servicio, se escanearon de manera inadvertida o están activos con poca frecuencia.Tenable.io Vulnerability Management conserva los datos de vulnerabilidades y configuración de tales activos de modo que no haya un lado negativo en la reclamación automatizada de licencias.
  • Verdaderamente en actividad, no bloqueado:Tenable.io Vulnerability Management permite a los clientes supervisar y ajustar el consumo de licencias y, luego, ponerse en actividad realmente cuando es necesario.No bloquea la funcionalidad automáticamente, si se excede la licencia de forma temporal.

¿Cuáles son los beneficios de Elastic Asset Licensing?

Los beneficios principales son los siguientes:

  • Los clientes adquieren la cantidad adecuada de licencias en función de cantidades de activos no recuentos inflados de direcciones IP.
  • Los clientes evitan proyectos que demandan mucho tiempo y que, con frecuencia, son inexactos necesarios para reclamar licencias de activos puestos fuera de servicio o escaneados de forma inadvertida.
  • Las mediciones de gestión de vulnerabilidades no se ven afectados por la duplicación o triplicación de vulnerabilidades en el caso de activos que tienen varias direcciones IP.

¿Los clientes de Tenable.io VM pueden escanear más activos de aquellos que tiene licencia?

Sí, de manera temporal, los clientes pueden superar la cantidad de activos con licencia.Por supuesto, los clientes deben pagar la cantidad de licencias correctas cuando el recuento de licencia sigue excediéndose.

¿Cómo pueden los clientes de Tenable.io Vulnerability Management determinar el estado de su licencia?

La interfaz del usuario de Tenable.io Vulnerability Management muestra tanto la cantidad de activos con licencia y el nivel de uso de licencias reales.

¿Qué se encuentra en un activo?

Un activo es una entidad que se puede analizar.Ejemplos de activos incluyen computadoras de escritorio, computadoras portátiles, servidores, dispositivos de almacenamiento, dispositivos en red, teléfonos, tabletas, VM, hipervisores y contenedores.

¿Cómo identifica Tenable.io VM un activo?

Cuando Tenable.io Vulnerability Management descubra por primera vez un activo, reunirá varios atributos de identificación, que puede incluir una UUID de BIOS, la dirección MAC del sistema, el nombre de NetBIOS, FQDN u otros atributos que se pueden emplear para la identificación segura de un activo.Además, el escaneo autenticado y agentes Nessus asigna una UUID de Tenable al dispositivo.Cuando Tenable.io Vulnerability Management escanea luego un activo, lo compara con los activos descubiertos previamente.Si el activo descubierto recientemente no se empareja con un activo descubierto previamente, se agrega al inventario de Tenable.io Vulnerability Management.

¿De qué modo los activos son diferentes a las direcciones IP?

Por lo general, las direcciones IP son una propiedad de un activo y muchos activos tienen varias direcciones IP asignadas (como por ejemplo, dispositivos DHCP, sistemas con interfaces cableadas e inalámbricas, etc.).

¿Por qué el recuento de activos es probablemente menor al recuento de direcciones IP?

Con frecuencia, los activos tienen varias tarjetas de interfaz de red, lo que les permite que varias redes tengan acceso a ellos.Como ejemplo, un servidor web puede haber estado simultáneamente en una red de producción y en una red administrativa, o una computadora portátil tendrá interfaces de red tanto cableadas como inalámbricas.Además, las computadoras portátiles con frecuencia obtendrán nuevas direcciones IP a medida que se mueven de una ubicación a otra.Si se las escanea con una IP y, luego, con otra, se las contará dos veces.

¿De qué forma los clientes potenciales puede estimar el recuento de activos?

Tenable.io VM es compatible con escaneos de descubrimiento ilimitados usando sensores tanto activos como pasivos.Los clientes puede usar esos escaneos para confeccionar inventarios integrales de todos sus activos y determinar el tamaño correcto de la licencia.

¿Cómo evitar contar el mismo activo varias veces?

Tenable.io admite una variedad de metodologías para enviar la duplicación o triplicación del mismo activo para el cálculo del tamaño correcto de la licencia.En el caso de activos tradicionales, Tenable.io VM usa un algoritmo de uso exclusivo empareja activos recién descubiertos con activos ya descubiertos para eliminar duplicados y garantizar un informe más preciso en cuanto a vulnerabilidades.Con contenedores Docker, Tenable.io Container Security identifica capas Docker usadas varias veces en sus registros de contenedores y los elimina del cálculo de la obtención de licencias.En otras palabras, cuando una capa Docker se usa en varias etiquetas, en varias imágenes o en varios registros, esa capa solo se cuenta una sola vez para determinar el costo de la licencia de un producto.

Preguntas sobre la seguridad y privacidad de datos

La seguridad y privacidad de los datos del cliente es la prioridad más importante para Tenable.Miles de clientes, incluso proveedores de servicios financieros, proveedores de asistencia médica, comerciantes minoristas, instituciones educativas y organismos gubernamentales confían a Tenable sus datos de vulnerabilidades en nuestra plataforma en la nube.

La seguridad y privacidad de los datos incluyen no permitir a los clientes que accedan a otros datos que no sean los propios y garantizar que cualquier persona que no sea cliente, pirata informático, parte ilícita o representante no autorizado de Tenable no puedan acceder, divulgar o infringir de cualquier otro modo la privacidad y protección de los datos de los clientes almacenados en el servicio Tenable.io.

Tenable también se concentra en la disponibilidad y confiabilidad del servicio Tenable.io ya que controles deficientes en materia de seguridad pueden crear problemas que, mientras no representan un riesgo para los datos de los clientes, pueden afectar la disponibilidad del servicio.Tenable pone en práctica y aplica medidas para que Tenable.io tenga un nivel de disponibilidad elevado, protegido contra ataques, fallas simples e interrupciones, y siempre ofreciendo capacidad de uso para nuestros clientes.

Tenable.io use la tecnología de contenedores de última generación para crear y segregar entornos de clientes.Todas las cuentas, datos de vulnerabilidades y configuraciones de usuario de los clientes conforman un contenedor asignado de manera unívoca a cada cliente en particular.Los datos contenidos en un contenedor no pueden filtrarse o mezclarse, de ningún otro modo, con otro contenedor, lo que garantiza la privacidad, seguridad e independencia del entorno de cada cliente.

¿Qué datos del cliente gestiona Tenable.io?

En última instancia, los datos del cliente que gestiona Tenable.io tienen una sola finalidad: ofrecer una experiencia excepcional a medida que los clientes gestionan activos y vulnerabilidades para asegurar sus entornos.Con ese fin, Tenable.io gestiona tres categorías de datos de clientes:

  1. Datos sobre activos y vulnerabilidades
  2. Datos de rendimiento del entorno
  3. Datos del nivel de uso del cliente

¿Qué datos de activos y vulnerabilidades del cliente gestiona Tenable.io?

Tenable.io confecciona el inventario de activos en las redes de los clientes y gestiona los atributos de los activos que pueden incluir dirección IP, dirección MAC, nombre NetBIOS, sistema operativo y versión, puertos activos y más.

Datos de activos de Tenable.io
Modelo de datos de activos gestionados por Tenable.io

Tenable.io recopila datos detallados actuales e históricos sobre vulnerabilidades y configuración, que pueden incluir el nivel de criticidad, el nivel de capacidad de explotación, el estado de remediación y la actividad en la red.Además, si los cliente mejorar los datos de Tenable.io con integraciones con productos de terceros, como por ejemplo, sistemas de gestión de activos y de parches, Tenable.io puede gestionar datos de estos productos.

Datos de vulnerabilidades de Tenable.io
Modelo de datos de vulnerabilidades gestionados por Tenable.io

¿Tenable analiza o usa los datos del cliente?

En la actualidad, Tenable no analiza datos de clientes de ninguna forma.Sin embargo, en el futuro, Tenable puede convertir datos de clientes en datos anónimos y analizarlos para determinar tendencias en la industria, en el aumento de vulnerabilidades y mitigación, y en eventos de seguridad.Por ejemplo, la correlación de la presencia de una vulnerabilidad con su explotación tendría enormes beneficios para los clientes de Tenable.Más beneficios incluyen análisis avanzado y correlación mejorada de datos del cliente con la industria y eventos y tendencias en materia de seguridad.La recolección y análisis de este tipo de datos también permitirían que los clientes se comparen en pie de igualdad contra otros en la industria o en general.Tenable ofrecerá un método para que los clientes cancelen su suscripción a este servicio si así lo desean.

¿Qué datos de condición y estado de Tenable.io se recopilan?

Para mantener el rendimiento y disponibilidad de Tenable.io y ofrecer la mejor experiencia del cliente posible, Tenable.io recopila información sobre el estado y la condición de la aplicación específica del cliente.Esto incluye la frecuencia con la cual el escáner se comunica con la plataforma, la cantidad de activos escaneados y versiones del software implementado, así como otra telemetría general para identificar y abordar problemas potenciales en cuanto sea posible.

¿Los clientes puede cancelar la suscripción a la recopilación de datos de condición y estado?

Tenable usa datos de condición y estado para detectar y abordar problemas potenciales de manera oportunidad, manteniendo los compromisos de SLA de esa forma.Por lo tanto, los clientes no puede cancelar la suscripción a esta recopilación de datos.

¿Qué datos del nivel de uso de Tenable.io se recopilan?

Para evaluar y mejorar la experiencia del cliente, Tenable recopila datos anónimos del nivel de uso del usuario.Estos datos incluyen acceso a la página, clics y otra actividad del usuario que le otorga a este una opinión en la optimización y mejora de su experiencia.

¿Los usuarios pueden cancelar la suscripción a la recopilación de datos sobre el nivel de uso?

Sí.Un cliente puede solicitar que su contenedor ya no sea parte del proceso de recopilación.

¿Dónde se encuentran ubicados los datos del cliente?

Tenable usa centros de datos y servicios de Amazon Web Services (AWS) para suministrar y brindar Tenable.io a sus clientes.De forma predeterminada, Tenable elegirá crear un contenedor del cliente en la región que sea más adecuada para garantizar la mejor experiencia posible para ese cliente.Las ubicaciones actuales son las siguientes:

  • EE. UU.oriental
  • EE. UU. occidental
  • Londres
  • Frankfurt
  • Sídney

A modo de excepción, si antes de la implementación, un cliente solicita una región de AWS específica, Tenable activará al cliente en esa región.

Ya que todos los datos del cliente se almacena en servicios de AWS seguros y regionales, las certificaciones para la protección de datos en la UE que mantiene AWS se aplican a la nube de Tenable. Podrá encontrar más información disponible en https://aws.amazon.com/compliance/eu-data-protection/.

¿Tenable.io incorporará otros países en el futuro?En caso de una respuesta positiva, ¿cuál es el plazo de tiempo?

Sí.Sin embargo, el marco de tiempo de ubicaciones adicionales aún no se ha determinado.

¿Los datos se puede almacenar en regiones de AWS que no sean las regiones originales?

Existen situaciones en las cuales los datos se podrían almacenar en regiones diferentes a las regiones iniciales de AWS.

  • Los clientes de Tenable.io pueden ejecutar escaneos externos usando las combinaciones de escaneo públicas y compartidas disponibles en varias regiones de AWS.Por lo general, elegir un escáner cerca del objetivo dará lugar a escaneos más rápidos.Tenga en cuenta que cuando un cliente usa un escáner en la nube en una localidad diferentes que la que aloja su cuenta, los datos del escaneo pueden existir temporalmente fuera de la localidad de alojamiento de la cuenta, pero no se almacena ahí.Por ejemplo, si un cliente con una cuenta alojada en UE/Alemania realiza un escaneo con un escáner en EE. UU./Virginia del Norte, los datos del escaneo pasarán temporalmente por los EE. UU. antes de almacenarse en Frankfurt.Si la localidad de los datos es un problema, los clientes solo deben hacer escaneos externos son escáneres en su región. Esto se puede seleccionar fácilmente en cada escaneo.
  • Si un cliente usa Tenable SecurityCenter®, los datos de su escaneo no se almacenan en la nube, incluso si usan Tenable.io para escanear parte de toda su infraestructura.
  • Los datos del escaneo de Nessus Agent se almacenan en Tenable.io cuando los clientes realizan escaneos desde Tenable.io.Si los clientes realizar escaneos de agente con Nessus Manager, esos datos no se almacenarán en Tenable.io, sin importar el lugar de implementación de los agentes.

¿Un cliente puede forzar a que los datos permanezcan en una ubicación/país en particular?

Sí.Los datos se almacenan en el país seleccionado cuando se creó la cuenta.

¿Cómo se protegen los datos del cliente dentro de Tenable.io?

Tenable aplica varias medidas de seguridad para ofrecer seguridad y privacidad a los datos de Tenable.io.

¿Cómo lleva a cabo Tenable un desarrollo seguro?

Tenable cumple varias prácticas para garantizar la seguridad del software de las aplicaciones Tenable.io.

Las pruebas las realizan tres grupos separados dentro de Tenable:

  • El equipo de desarrollo lleva a cabo las pruebas de seguridad;
  • El equipo de Seguridad de TI de Tenable lleva a cabo pruebas de vulnerabilidades Tenable.io tanto antes como después de la implementación (las pruebas tras la implementación no están programadas y se realizan sin advertencia por anticipado a los otros equipos); y
  • Tenable ofrece un análisis adicional de la seguridad del código fuente y de los cambios antes de la implementación.

Todas las implementaciones de software están automatizadas y se realizan solo mediante el sistema de desarrollo, que se autentica a través de credenciales corporativas LDAP o mediante Ansible, que se autentica en base a claves privadas de SSH.Todas las implementaciones se registran y rastrean, y se envía una notificación de la acción de implementación (planificada o sin planificar) automáticamente al equipo de desarrollo de Tenable.

Todos los cambios al código fuente se rastrean y vinculan a la versión en la cual se instala tal cambio.Este rastreo garantiza que exista un historial completo de cada cambio, quién lo hizo, cuándo se hizo y, finalmente, cuándo se implementó el cambio en la producción.

Cada implementación cuenta con la aprobación de al menos dos miembros del equipo Tenable.Todos los cambios e implementaciones se comunican a todos los miembros del equipo.El software primero se implementa en entornos de prueba y, luego, de manera gradual en instancias de producción a lo largo de un plazo de tiempo.

¿Qué tipo de seguridad de la aplicación del cliente se encuentra disponible?

  • Garantizar el acceso a Tenable.io de una manera segura y autorizada es una primera prioridad para nuestros equipos de desarrollo y operaciones.Tenable.io ofrece varios mecanismos para mantener los datos del cliente seguros y controlar el acceso.Protegemos contra ataques de fuerza bruta mediante el bloqueo de cuentas tras cinco (5) intentos de inicio de sesión fallidos.
  • Para proteger contra las interceptaciones de datos, todas la comunicaciones con la plataforma están cifradas mediante SSL (TLS-1.2).Además, las negociaciones de SSL más antiguas e inseguras se rechazan para garantizar el mayor nivel de protección.
  • Para proteger el acceso a la plataforma, los clientes pueden configurar una autenticación mediante dos factores a través de los servicios provistos por Twillo.
  • Los clientes pueden integran Tenable.io con su implementación de SAML.Tenable.io respalda solicitudes iniciadas mediante IdP y SP.Por último, los usuarios pueden restablecer sus contraseñas directamente desde dentro de la aplicación usando su dirección de correo electrónico.
  • Los clientes con frecuencia desarrollan conexiones de clientes con Tenable.io mediante el uso de nuestras API o SDK documentadas.El acceso se puede conceder y controlar mediante la creación de claves específicas de API.Es compatible el uso de claves diferentes para integraciones diferentes sin tener que compartir credenciales de usuario.

¿Cómo se protegen los datos del cliente?

Tenable aplica varias medidas de seguridad para ofrecer seguridad y privacidad a los datos de Tenable.io.

¿Cómo se cifran los datos?

Todos los datos en todos los estados en la plataforma Tenable.io se cifran con al menos un nivel, usando no menos que AES-256.

En descanso: los datos están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.

Algunas clases de datos incluyen un segundo nivel de cifrado por archivo.

En transporte: los datos están cifrados en transporte usando TLS v1.2 con una clave de 4096 bits (esto incluye transportes internos).

Comunicación con el sensor de Tenable.io: el tráfico desde los sensores a la plataforma siempre es iniciado por el sensor y es saliente solamente en el puerto 443.El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits.Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.

  • Autenticación del escáner a la plataforma
    • La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación
    • Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner
  • Comunicación de la tarea del escáner a la plataforma
    • Los escáneres se contactan con la plataforma cada 30 segundos
    • Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits
    • El escáner solicita la política a la plataforma
    • El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo

En copias de seguridad/replicación: instantáneas de volumen y réplicas de datos se almacenan con el mismo nivel de cifrado que su fuente, no menos que AES-256. Toda la replicación se realiza en el interior a través del proveedor.Tenable no realiza la copia de seguridad de ningún dato a medios físicos fuera del sitio o sistemas físicos.

En índices: los datos de índices están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.

Credenciales de escaneo: se almacenan en el interior de una política cifrada dentro de la clave global AES-256 para contenedores. Cuando se lanzan escaneos, la política se cifra con una clave aleatoria de un solo uso de 128 bits y se transporta mediante TLS v1.2 con una clave de 4096 bits.

Gestión de claves: las claves se almacenan centralmente, cifradas con una clave en función de roles, y el acceso es limitado.Todos los datos cifrados se puede rotar a una clave nueva.Las claves de cifrado de archivos de datos son diferentes en cada sitio regional, al igual que las claves a nivel de discos.El uso compartido de claves está prohibido y los procedimientos de gestión de claves se revisan anualmente.

¿Los clientes puede subir sus propias claves?

El cliente no puede configurar la gestión de claves.Tenable gestiona las claves y su rotación.

¿Tenable ha logrado alguna certificación en materia de privacidad o seguridad, como por ejemplo, Escudo de Privacidad o CSA STAR?

Tenable Network Security cumple con el Marco del Escudo de Privacidad entre la UE-EE. UU.y el Marco del Escudo de Privacidad entre Suiza y los EE. UU.tal como lo estableció elDepartamento de Comercio de los EE. UU. con respecto a la recopilación. uso y retención de información personal transferida desde la Unión Europea y Suiza a los Estados Unidos, respectivamente.Tenable Network Security ha certificado al Departamento de Comercio que cumple con los Principios del Escudo de Privacidad.Si hubiere un conflicto entre los términos de esta política de privacidad y los Principios del Escudo de Privacidad, regirán estos últimos.Para obtener más información sobre el programa del Escudo de Privacidad y ver nuestra certificación, visite https://www.privacyshield.gov/.

Tenable ha llevado a cabo la autoevaluación STAR de Cloud Security Alliance (CSA). Las respuestas de Tenable al Cuestionario de Iniciativas de Evaluación en Consenso (Consensus Assessment Initiative Questionnaire, CAIQ) responden un conjunto de más de 140 preguntas relacionadas con la seguridad que podrían formular un cliente potencial, un cliente actual o un socio de Tenable.io.CSA STAR es el programa más poderoso de la industria para la garantía de seguridad en la nube.STAR (Registro de Confianza y Garantía de Seguridad) abarca principios clave de transparencia, auditorías rigurosas y armonización de normas, incluso indicaciones de mejores prácticas y validación de postura de seguridad de productos ofrecidos en la nube.

¿Cómo se protege la Información de Carácter Personal (PII)?

La plataforma Tenable.io hace todos los esfuerzos para no recopilar tipos de datos de IIP que exigiría certificaciones o medidas de seguridad adicionales.Esto incluye números de tarjetas de crédito, números del Seguro Social y otras verificaciones personalizadas.Cuando los complementos de Tenable capturen cadenas de caracteres que puedan contener información sensible o personal, la plataforma hará que no se pueda tener acceso a al menos el 50 % de los caracteres para proteger datos que pueden ser confidenciales.

¿Se separan los datos del cliente?

Los datos de cada cliente se identifican con un "ID de contenedor”, que se corresponde con la suscripción específica de un cliente.Este ID de contenedor garantiza que solo ese cliente pueda tener acceso a sus datos.

¿Que controles de seguridad protege Tenable.io?

  • Tenable lleva a cabo escaneos diarios en búsqueda de vulnerabilidades.
  • Firewalls y la segmentación de red controlan el acceso.
  • Herramientas y procesos automatizados supervisan la plataforma de Tenable.io para registrar el tiempo de actividad, rendimiento y detectar conductas anómalas.
  • Los registros se monitorean mediante automatización las 24 horas del día, los 7 días de la semana, los 365 días del año y el personal de Tenable está disponible de ese modo para responder a los eventos.

¿Cómo se protegen los sensores de Tenable.io?

Los sensores que se conectan a la plataforma tienen un papel importantísimo en la seguridad de un cliente, la recopilación de vulnerabilidades y la información de activos.La protección de estos datos y garantizar las rutas de comunicación es una función principal de Tenable.io. Tenable.io es compatible con varios sensores actuales:escáneres de vulnerabilidades Nessus, escáneres pasivos y agentes Nessus.

Estos sensores se conectan a la plataforma de Tenable.io después de autenticarse y vincular de manera criptográfica con Tenable.io.Una vez enlazado, Tenable.io gestiona todas las actualizaciones (complementos, código, etc.) para garantizar que los sensores estén siempre actualizados.

E tráfico desde los sensores a la plataforma siempre es iniciado por el sensor y es saliente solamente en el puerto 443.El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits.Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.

  • Autenticación del escáner a la plataforma
    • La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación
    • Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner
  • Comunicación de la tarea del escáner a la plataforma
    • Los escáneres se contactan con la plataforma cada 30 segundos
    • Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits
    • El escáner solicita la política a la plataforma
    • El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo

¿Cómo se gestiona la disponibilidad de Tenable.io?

Los servicios de Tenable.io luchan por proporcionar un tiempo de actividad del 99.95 % o mejor, y han provisto un tiempo de actividad del 100 % en la mayoría de los servicios.Tenable ha publicado un SLA que describe nuestro compromiso para garantizar que la plataforma esté disponible para todos los usuarios y cómo ofrecemos crédito a los clientes en caso de un tiempo de inactividad imprevisto.

El estado de actividad se determinar mediante simples pruebas de disponibilidad públicas alojadas por un tercero que prueban con regularidad la disponibilidad de los servicios.El tiempo de actividad de los servicios (tanto actual como histórico) se encuentra disponible en http://uptime.tenable.com/ Este enlace también ofrece porcentajes de tiempo de actividad diario, mensual, trimestral y anual.

Tenable.io hace extensivo el uso de la plataforma de AWS y otras tecnología líderes para garantizar que nuestros clientes tengan el servicio y la calidad global del mejor nivel posible.A continuación encontrará una lista de las soluciones que ofrecieron los beneficios a los clientes:

  • Clústeres ElasticSearch: los clústeres Elasticsearch cuentan con una disponibilidad elevada y pueden recuperarse de la pérdida de nodos maestros, nodos lb y al menos 1 nodo de datos, sin que esto afecte la disponibilidad del servicio.
  • Almacenes de bloques elásticos: se emplean para tomar instantáneas diarias y almacenar ocho (8) copias
  • Ecosistema Kafka: Kafka y Zookeeper replican datos en el clúster para ofrecer tolerancia al error en caso de la falla catastrófica de cualquier nodo.
  • Instancias Postgres: gestionan el marco del microservicio administrativo para mantener 30 días de instantáneas

¿Dónde se replican los datos?

Los datos replicados se almacenan dentro de la misma región.

¿Qué capacidades de recuperación ante desastres se encuentran implementadas?

Desastres son eventos que generan la pérdida irrecuperable de datos o equipos en una o más regiones.

Los procedimientos de recuperación ante desastres de Tenable.io tienen varios niveles y están diseñados para reaccionar a situaciones que pueden tener lugar una vez en cinco años a una vez en 50 años.En función del alcance del desastre, los procedimientos de recuperación varían en tiempo de 60 minutos a 24 horas.

¿Quién puede acceder a los datos del cliente?

Los clientes controlan quién tiene acceso a sus datos, incluso mediante la asignación de roles y permisos a su personal y la concesión provisoria de acceso por parte del personal de soporte de Tenable

¿Cómo se gestionan los roles y permisos para los usuarios?

Los administradores de clientes de Tenable.io pueden asignar roles de usuarios (básico, estándar, administrador y desactivado) para gestionar el acceso a escaneos, políticas, escáneres, agentes y listas de activos.

¿El personal de Tenable puede acceder a los datos del cliente?

Sí.Con el permiso del cliente, miembros del nivel tres del personal de soporte global de Tenable pueden representar cuentas de usuario, lo que les permite realizar operaciones en Tenable.io como otro usuario sin necesitar obtener la contraseña de ese usuario.El personal de soporte de Tenable, o el cliente, puede solicitar activar la función.El personal de soporte de Tenable necesita que el cliente apruebe la representación a través de una nota en un caso de soporte activo.Los permisos debe concederse por cada problema registrado ante soporte.Tenable no operará conforme a una aceptación general para representar cuentas en cualquier momento.La representación de un usuario puede dar lugar a que los datos salgan de la ubicación principal.

Es obligatorio que todo el personal de operaciones de Tenable.io tenga verificaciones de antecedentes con resultados satisfactorios llevadas a cabo por terceros.Además, todos los miembros del equipo principal tendrán al menos cinco años de experiencia en empresas de software seguridad con base en SaaS y que muchos tenga certificaciones seguridad como ser un CISSP.

Tenable cuenta con un proceso de contratación y desvinculación laboral definido.Es obligatorio que todos los empleados firmen acuerdos de confidencialidad como parte de su contratación, y todas las cuentas y claves de acceso se revocan tras su desvinculación.

¿Quién puede usar la función de representación?

Solo miembros del personal de soporte de nivel tres de Tenable tienen permitido emplear la función de representación.

¿Se registra la actividad de representación?

Sí.

¿Los datos salen del país cuando Tenable está realizando la resolución de un problema técnico?

Tenable hace todos los esfuerzos posibles para garantizar que los datos de los clientes se encuentren protegidos y garantizamos que se cumplan sus políticas al trabajar con ellos para asegurarnos que los datos permanezcan en la región donde son necesarios.Sin embargo, existen instancias en las cuales los clientes pueden enviar un informe por correo electrónico a Tenable o quebrantar su propia política enviando correos electrónicos fuera de su región.

¿El personal de soporte de Tenable tendrá acceso a la red interna de un cliente?

No.El escáner inicia todo el tráfico y solo es saliente.Los escáneres están instalados detrás del firewall del cliente y pueden controlar el accesos de tales escáneres a través de su firewall.

¿Durante cuánto tiempo se conservan los datos del cliente dentro de Tenable.io?

Los períodos de retención de datos se determinar para cumplir con los diversos requisitos de clientes y normativos.

¿Durante cuánto tiempo se conservan los datos de escaneos activos?

La posibilidad de medir progreso a lo largo del tiempo es una función principal de la plataforma Tenable.io. Tenable.io almacenará automáticamente datos de los clientes durante 15 meses para permitirles confeccionar informes sobre un período de tiempo de 1 año.

Si los clientes necesitan un almacenamiento que supere los 15 meses, Tenable.io ofrece diversos métodos para descargar los datos del cliente y este puede almacenarlos como desee.

Si un cliente interrumpe el servicio Tenable.io, ¿durante cuánto tiempo se conservan sus datos?

En caso de que caduque o venza la cuenta de un cliente, Tenable conservará los datos como estaban al momento del vencimiento durante no más de 180 días.Pasado ese tiempo, estos datos puede eliminarse y no podrán recuperarse.

¿Durante cuanto tiempo se conservan datos relacionados con PCI?

Los datos que están involucrados en un proceso de validación de cumplimiento de PCI no se eliminan al menos tres años después de la fecha de la validación de PCI, conforme los requisitos de las normativas de PCI.Tenable conserva estos datos durante este plazo de tiempo, incluso si el cliente elige eliminar sus escaneos o cuenta, o rescinde su servicio Tenable.io.

¿Durante cuánto tiempo se conservan los datos de nivel de uso de Tenable.io?

Para garantizar la mejor experiencia posible, recopilaremos esta información siempre que el contenedor del cliente permanezca activo.Una vez que el cliente interrumpa el servicio, los datos no se conservarán durante un plazo mayor a 180 días.

¿Tenable.io cuenta con certificación de Common Criteria?

Por lo general la certificación de Common Criteria no se aplica a una solución SaaS, ya que la frecuencia de las actualizaciones no se prestan a un proceso de certificación cuya realización demanda entre 6 a 9 meses.

¿Un cliente puede elegir el país donde se almacenan sus datos?

A modo de excepción, si antes de la implementación, un cliente solicita una ubicación geográfica específica, Tenable activará al cliente en esa ubicación.Las ubicaciones actuales son las siguientes:

  • EE. UU.oriental
  • EE. UU. occidental
  • Londres
  • Frankfurt
  • Sídney

¿Los datos existen en varias ubicaciones dentro de un país?

No.En la actualidad, Tenable no replica datos de una ubicación a otra.

PCI ASV

¿Qué significa ASV de la PCI?

PCI ASV hace referencia el requisito 11.2.2 de los Requisitos de la Norma de Seguridad de Datos (Data Security Standard, DSS) de la Industria de las Tarjetas de Pago (Payment Card Industry, PCI) y los Procedimientos de Evaluación de Seguridad que exigen escaneos externos trimestrales de vulnerabilidades, que debe llevar a cabo (o validar) un Proveedor de Escaneos Aprobado (Approved Scanning Vendor, ASV).Un ASV es una organización con un conjunto de servicios y herramientas (“Solución de Escaneo de ASV”) para validar el cumplimiento de los requisitos de escaneo externo del Requisito 11.2.2 de la DSS de la PCI.

¿Qué sistema se encuentran dentro del ámbito del Escaneo del ASV?

La DSS de la PCI exige el escaneo de vulnerabilidades de todos los componentes de sistemas accesibles desde el exterior (que se pueden acceder mediante Internet) propiedad de o utilizados por el cliente de escaneo que son parte del entorno de los datos del titular de la tarjeta, así como cualquier componente de sistemas orientados hacia el exterior que proporcionen una ruta al entorno de datos del titular de la tarjeta.

¿Cuál es el proceso del ASV?

Las principales fases del escaneo del ASV están conformadas por los siguientes elementos:

  • Determinación de alcance: llevado a cabo por el cliente para incluir todos los componentes del sistema con acceso desde la Internet que forman parte del entorno de los datos del titular de la tarjeta.
  • Escaneo: mediante el uso de la plantilla de Escaneo Externo Trimestral VM PCI de Tenable.io
  • Confección de informes/remediación: se remedian los resultados de los informes intermedios.
  • Resolución de controversias:El cliente y el ASV trabajan juntos para documentar y resolver resultados de escaneos objeto de controversias.
  • Volver a escanear (según sea necesario): hasta un escaneo aprobado que resuelva las controversias y se generen excepciones.
  • Confección del informe final: presentado y entregado de una forma segura.

¿Con qué frecuencia son necesarios los escaneos del ASV?

Los escaneos de vulnerabilidades de ASV son necesarios al menos trimestralmente o después de un cambio importante en la red, como por ejemplo las instalaciones de nuevos componentes en los sistemas, cambios en la topología de la red, modificación de reglas de firewall o actualizaciones del producto.

¿De qué forma un Proveedor de Escaneo Aprobado (ASV) es diferente de un Asesor de Seguridad Calificado ( Qualified Security Assessor, QSA)?

Un ASV realiza específicamente solo los escaneos externos de vulnerabilidades descritos en el Requisito 11.2 de la DSS de la PCI.Un QSA se refiere a una empresa asesora calificada y capacitada por el Consejo de Normas de Seguridad (Security Standards Council, SSC) de la PCI para la realización de evaluaciones generales in situ relacionadas con la DSS de la PCI.


Capacidades de la solución Tenable.IO PCI ASV

¿Tenable es un ASV certificado para la PCI?

Sí.Tenable está calificada como un Proveedor de Escaneo Aprobado (ASV) para validar escaneos externos de vulnerabilidades de entornos orientados a la Internet (empleados para almacenar, procesar o transmitir datos del titular de la tarjeta) de comerciantes y proveedores de servicios.El proceso de calificación como ASV consta de tres partes: la primera involucra la calificación de Tenable Network Security como un proveedor.La segunda se relaciona con la calificación de los empleados de Tenable responsables de los Servicios remotos de Escaneo para la PCI.La tercera está conformada por las pruebas de seguridad de la solución de escaneo remoto de Tenable (Tenable.io Vulnerability Management y Tenable.io PCI ASV).

Como un Proveedor de Escaneo Aprobado (ASV), ¿Tenable realmente lleva a cabo los escaneos?

Los ASV pueden llevar a cabo los escaneos.Sin embargo, Tenable confía en que los clientes lleven a cabo sus propios escaneos empleando la plantilla de Escaneo Externo Trimestral de la PCI.Esta plantilla evita que los clientes cambien los ajustes de la configuración, como por ejemplo, la desactivación de las comprobaciones de vulnerabilidades, la asignación de niveles de gravedad, la modificación de parámetros de escaneo, etc.Los clientes usan escáneres en la nube Tenable.io VM para escanear sus entornos orientados a la Internet y, luego, envían informes de escaneos con resultados satisfactorios a Tenable para su validación.Tenable valida los informes de escaneo y, luego, el cliente los envía a sus adquirentes o marcas de pago tal como lo instruyen estas últimas.

¿En qué forma el producto nuevo es diferente del producto existente?

Las capacidades nuevas o mejoradas incluyen las siguientes:

  • Una IU para que los usuarios escaneen, gestionen, envíen y lleven a cabo el proceso de certificación de ASV.
  • Posibilidad de que más de una persona presente controversias y las envíe para la certificación por parte del ASV.
  • Posibilidad de aplicar las mismas controversias/excepciones a varias IP.(Posibilidad de crear controversias en función de complementos en vez de por activo)
  • Posibilidad de identificar una IP como fuera de alcance
  • Posibilidad de anotar controles de compensación

Soberanía de datos

¿Tenable.io PCI ASV cumple con los requisitos de soberanía de datos de la UE?

Los datos sobre vulnerabilidades no forman parte de los datos de DPD 95/46/EC de la UE, de modo que cualquier requisito sobre la residencia de los datos estará impulsado por el cliente y no por las normativas.Las organizaciones gubernamentales estatales de la UE podrían tener sus propios requisitos de residencia de datos, pero tendrían que evaluarse caso por caso y probablemente no sea un problema para escaneos ASV para la PCI.


Precio/obtención de licencias/pedidos de Tenable.io ASV

¿Tenable.io VM incluye alguna licencia PCI ASV?

Sí, Tenable.io VM incluye una licencia de PCI ASV para un solo activo de PCI exclusivo.Algunas organizaciones han pasado por muchas dificultades para limitar los activos en el ámbito para la PCI, con frecuencia, mediante la tercerización de las funciones de procesamiento de pagos.Ya que se puede decir que estos clientes no se encuentran dentro del negocio de la PCI, Tenable ha simplificado su proceso de compra y obtención de licencias.Un cliente puede cambiar su activo cada 90 días.

¿De qué forma se conceden licencias para Tenable.io PCI ASV?

En el caso de clientes que tienen más de un activo de la PCI exclusivo, la licencia de la solución Tenable.io PCI ASV se ofrece como un complemento a las suscripciones a Tenable.io Vulnerability Management.

¿Por qué no se conceden licencias para Tenable.io PCI ASV de acuerdo con la cantidad de activos de la PCI orientados a la Internet de un cliente?

La cantidad de hosts orientados a la Internet que se encuentran en el interior o proveen una ruta al entorno de datos del titular de la tarjeta (CDE) de una entidad pueden cambiar con frecuencia, lo que genera complejidad en cuanto a la obtención de licencias.Tenable eligió usar un enfoque de concesión de licencias más simple.

¿Cuántas certificaciones puede presentar un cliente por trimestre?

Los clientes pueden presentar una cantidad ilimitada de certificaciones trimestrales.

¿Los clientes de prueba/evaluación reúnen los requisitos para evaluar Tenable.io PCI ASV?

Sí. el cliente de evaluación puede usar la plantilla de Escaneo Externo Trimestral de la PCI para escanear activos, analizar resultados y crear controversias.Sin embargo, no puede presentar informes de escaneo para su certificación.

¿De qué forma los clientes existentes de Tenable.io VM pasarán a la nueva capacidad?

La nueva capacidad estará activada automáticamente el 24 de julio de 2017, de modo que los clientes podrán usarla para su próximo escaneo de ASV de la PCI.Los clientes existentes no tendrán que obtener una licencia para la nueva capacidad de PCI ASV durante al menos un año.

¿De qué forma los clientes de SecurityCenter que han obtenido licencias para la capacidad actual de PCI ASV pasarán a la nueva capacidad?

Los clientes de SecurityCenter® que ya cuentan con licencias para el Escaneo eterno/PCI comenzarán a emplear Tenable.io PCI ASV en cuanto esté disponible.En la renovación, estos clientes pueden simplemente hacerlo usando sus SKU existentes.Sin embargo, puede ser ventajoso para ellos adquirir una licencia para Tenable.io PCI ASV en su lugar.

Solución de prueba Compre ahora

Pruebe Tenable.io Vulnerability Management

GRATIS POR 60 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora y ejecute el primer análisis en 60 segundos.

Compre Tenable.io Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Buy Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Purchase your 1-, 2-, or 3-year license today.