Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Investigación Recurso: BlogRecurso: Seminario virtualRecurso: InformeRecurso: Evento icons_066 icons_067icons_068icons_069icons_070

PCI ASV External FAQ

Pruebe Tenable.io Vulnerability Management

Realice su primer escaneo en menos de 60 segundos.

Pruebe ahora

PCI ASV

¿Qué significa ASV de la PCI?

PCI ASV hace referencia el requisito 11.2.2 de los Requisitos de la Norma de Seguridad de Datos (Data Security Standard, DSS) de la Industria de las Tarjetas de Pago (Payment Card Industry, PCI) y los Procedimientos de Evaluación de Seguridad que exigen escaneos externos trimestrales de vulnerabilidades, que debe llevar a cabo (o validar) un Proveedor de Escaneos Aprobado (Approved Scanning Vendor, ASV).Un ASV es una organización con un conjunto de servicios y herramientas (“Solución de Escaneo de ASV”) para validar el cumplimiento de los requisitos de escaneo externo del Requisito 11.2.2 de la DSS de la PCI.

¿Qué sistema se encuentran dentro del ámbito del Escaneo del ASV?

La DSS de la PCI exige el escaneo de vulnerabilidades de todos los componentes de sistemas accesibles desde el exterior (que se pueden acceder mediante Internet) propiedad de o utilizados por el cliente de escaneo que son parte del entorno de los datos del titular de la tarjeta, así como cualquier componente de sistemas orientados hacia el exterior que proporcionen una ruta al entorno de datos del titular de la tarjeta.

¿Cuál es el proceso del ASV?

Las principales fases del escaneo del ASV están conformadas por los siguientes elementos:

  • Determinación de alcance: llevado a cabo por el cliente para incluir todos los componentes del sistema con acceso desde la Internet que forman parte del entorno de los datos del titular de la tarjeta.
  • Escaneo: mediante el uso de la plantilla de Escaneo Externo Trimestral VM PCI de Tenable.io
  • Confección de informes/remediación: se remedian los resultados de los informes intermedios.
  • Resolución de controversias:El cliente y el ASV trabajan juntos para documentar y resolver resultados de escaneos objeto de controversias.
  • Volver a escanear (según sea necesario): hasta un escaneo aprobado que resuelva las controversias y se generen excepciones.
  • Confección del informe final: presentado y entregado de una forma segura.

¿Con qué frecuencia son necesarios los escaneos del ASV?

Los escaneos de vulnerabilidades de ASV son necesarios al menos trimestralmente o después de un cambio importante en la red, como por ejemplo las instalaciones de nuevos componentes en los sistemas, cambios en la topología de la red, modificación de reglas de firewall o actualizaciones del producto.

¿De qué forma un Proveedor de Escaneo Aprobado (ASV) es diferente de un Asesor de Seguridad Calificado ( Qualified Security Assessor, QSA)?

Un ASV realiza específicamente solo los escaneos externos de vulnerabilidades descritos en el Requisito 11.2 de la DSS de la PCI.Un QSA se refiere a una empresa asesora calificada y capacitada por el Consejo de Normas de Seguridad (Security Standards Council, SSC) de la PCI para la realización de evaluaciones generales in situ relacionadas con la DSS de la PCI.


Tenable.io PCI ASV Solution Capabilities

¿Tenable es un ASV certificado para la PCI?

Yes. Tenable is qualified as an Approved Scanning Vendor (ASV) to validate external vulnerability scans of internet facing environments (used to store, process, or transmit cardholder data) of merchants and service providers. The ASV qualification process consists of three parts: the first involves the qualification of Tenable Network Security as a vendor. The second relates to the qualification of Tenable’s employees responsible for the remote PCI Scanning Services. The third consists of the security testing of Tenable’s remote scanning solution (Tenable.io Vulnerability Management and Tenable.io PCI ASV).

Como un Proveedor de Escaneo Aprobado (ASV), ¿Tenable realmente lleva a cabo los escaneos?

Los ASV pueden llevar a cabo los escaneos.Sin embargo, Tenable confía en que los clientes lleven a cabo sus propios escaneos empleando la plantilla de Escaneo Externo Trimestral de la PCI.Esta plantilla evita que los clientes cambien los ajustes de la configuración, como por ejemplo, la desactivación de las comprobaciones de vulnerabilidades, la asignación de niveles de gravedad, la modificación de parámetros de escaneo, etc.Los clientes usan escáneres en la nube Tenable.io VM para escanear sus entornos orientados a la Internet y, luego, envían informes de escaneos con resultados satisfactorios a Tenable para su validación.Tenable valida los informes de escaneo y, luego, el cliente los envía a sus adquirentes o marcas de pago tal como lo instruyen estas últimas.

¿En qué forma el producto nuevo es diferente del producto existente?

Las capacidades nuevas o mejoradas incluyen las siguientes:

  • Una IU para que los usuarios escaneen, gestionen, envíen y lleven a cabo el proceso de certificación de ASV.
  • Posibilidad de que más de una persona presente controversias y las envíe para la certificación por parte del ASV.
  • Posibilidad de aplicar las mismas controversias/excepciones a varias IP.(Posibilidad de crear controversias en función de complementos en vez de por activo)
  • Posibilidad de identificar una IP como fuera de alcance
  • Posibilidad de anotar controles de compensación

Soberanía de datos

¿Tenable.io PCI ASV cumple con los requisitos de soberanía de datos de la UE?

Los datos sobre vulnerabilidades no forman parte de los datos de DPD 95/46/EC de la UE, de modo que cualquier requisito sobre la residencia de los datos estará impulsado por el cliente y no por las normativas.Las organizaciones gubernamentales estatales de la UE podrían tener sus propios requisitos de residencia de datos, pero tendrían que evaluarse caso por caso y probablemente no sea un problema para escaneos ASV para la PCI.


Precio/obtención de licencias/pedidos de Tenable.io ASV

¿Tenable.io VM incluye alguna licencia PCI ASV?

Sí, Tenable.io VM incluye una licencia de PCI ASV para un solo activo de PCI exclusivo.Algunas organizaciones han pasado por muchas dificultades para limitar los activos en el ámbito para la PCI, con frecuencia, mediante la tercerización de las funciones de procesamiento de pagos.Ya que se puede decir que estos clientes no se encuentran dentro del negocio de la PCI, Tenable ha simplificado su proceso de compra y obtención de licencias.Un cliente puede cambiar su activo cada 90 días.

¿De qué forma se conceden licencias para Tenable.io PCI ASV?

En el caso de clientes que tienen más de un activo de la PCI exclusivo, la licencia de la solución Tenable.io PCI ASV se ofrece como un complemento a las suscripciones a Tenable.io Vulnerability Management.

¿Por qué no se conceden licencias para Tenable.io PCI ASV de acuerdo con la cantidad de activos de la PCI orientados a la Internet de un cliente?

La cantidad de hosts orientados a la Internet que se encuentran en el interior o proveen una ruta al entorno de datos del titular de la tarjeta (CDE) de una entidad pueden cambiar con frecuencia, lo que genera complejidad en cuanto a la obtención de licencias.Tenable eligió usar un enfoque de concesión de licencias más simple.

¿Cuántas certificaciones puede presentar un cliente por trimestre?

Los clientes pueden presentar una cantidad ilimitada de certificaciones trimestrales.

¿Los clientes de prueba/evaluación reúnen los requisitos para evaluar Tenable.io PCI ASV?

Yes. An evaluation customer can use the PCI Quarterly External Scan template to scan assets, review results, and created disputes. However, they cannot submit scan reports for attestation.

¿De qué forma los clientes existentes de Tenable.io VM pasarán a la nueva capacidad?

La nueva capacidad estará activada automáticamente el 24 de julio de 2017, de modo que los clientes podrán usarla para su próximo escaneo de ASV de la PCI.Los clientes existentes no tendrán que obtener una licencia para la nueva capacidad de PCI ASV durante al menos un año.

¿De qué forma los clientes de SecurityCenter que han obtenido licencias para la capacidad actual de PCI ASV pasarán a la nueva capacidad?

Los clientes de SecurityCenter® que ya cuentan con licencias para el Escaneo eterno/PCI comenzarán a emplear Tenable.io PCI ASV en cuanto esté disponible.En la renovación, estos clientes pueden simplemente hacerlo usando sus SKU existentes.Sin embargo, puede ser ventajoso para ellos adquirir una licencia para Tenable.io PCI ASV en su lugar.

Solución de prueba Compre ahora

Pruebe Tenable.io

GRATIS POR 60 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora y ejecute el primer análisis en 60 segundos.

Compre Tenable.io

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia plurianual y ahorre

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 60 DÍAS

Disfrute de acceso completo a nuestra oferta de productos recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora y ejecute el primer escaneo en 60 segundos.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN
Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 60 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Obtenga más información sobre la seguridad industrial