Preguntas frecuentes sobre el escaneo externo de PCI ASV

PCI ASV hace referencia el requisito 11.2.2 de los Requisitos de la Norma de Seguridad de Datos (Data Security Standard, DSS) de la Industria de las Tarjetas de Pago (Payment Card Industry, PCI) y los Procedimientos de Evaluación de Seguridad que exigen escaneos externos trimestrales de vulnerabilidades, que debe llevar a cabo (o validar) un Proveedor de Escaneos Aprobado (Approved Scanning Vendor, ASV). Un ASV es una organización con un conjunto de servicios y herramientas (“Solución de Escaneo de ASV”) para validar el cumplimiento de los requisitos de escaneo externo del Requisito 11.2.2 de la DSS de la PCI.

La DSS de la PCI exige el escaneo de vulnerabilidades de todos los componentes de sistemas accesibles desde el exterior (que se pueden acceder mediante Internet) propiedad de o utilizados por el cliente de escaneo que son parte del entorno de los datos del titular de la tarjeta, así como cualquier componente de sistemas orientados hacia el exterior que proporcionen una ruta al entorno de datos del titular de la tarjeta.

Las principales fases del escaneo del ASV están conformadas por los siguientes elementos:

• Determinación de alcance: llevado a cabo por el cliente para incluir todos los componentes del sistema con acceso desde la Internet que forman parte del entorno de los datos del titular de la tarjeta.
• Escaneo: empleando las plantillas especificadas PCI y WAS de Tenable Vulnerability Management. Se pueden escanear individualmente varias secciones del entorno de datos del titular de la tarjeta (CDE).
• Fusionar varios escaneos en una sola autenticación.
• Confección de informes/remediación: se remedian los resultados de los informes intermedios.
• Resolución de controversias: El cliente y el ASV (Tenable) trabajan juntos para documentar y resolver resultados de escaneos que son objeto de controversias.
• Volver a escanear (según sea necesario): hasta un escaneo aprobado que resuelva las controversias y se generen excepciones.
• Fusionar varios escaneos en una sola autenticación.
• Confección del informe final: presentado y entregado de una forma segura.

Los escaneos de vulnerabilidades del ASV son necesarios al menos trimestralmente o después de un cambio importante en la red, como, por ejemplo las instalaciones de nuevos componentes en los sistemas, cambios en la topología de la red, modificación de reglas de firewall o actualizaciones del producto.

Un ASV realiza específicamente solo los escaneos externos de vulnerabilidades descritos en el Requisito 11.2 de la DSS de la PCI. Un QSA se refiere a una empresa asesora calificada y capacitada por el Consejo de Normas de Seguridad (Security Standards Council, SSC) de la PCI para la realización de evaluaciones generales in situ relacionadas con la DSS de la PCI.

Sí. Tenable está calificada como un Proveedor de Escaneo Aprobado (ASV) para validar escaneos externos de vulnerabilidades de entornos orientados a la Internet (empleados para almacenar, procesar o transmitir datos del titular de la tarjeta) de comerciantes y proveedores de servicios. El proceso de calificación como ASV consta de tres partes: la primera involucra la calificación de Tenable Network Security como un proveedor. La segunda se relaciona con la calificación de los empleados de Tenable responsables de los Servicios de Escaneo remotos para la PCI. El tercero consiste en pruebas de seguridad de la solución de escaneo remoto de Tenable (Tenable Vulnerability Management y Tenable PCI ASV).

Los ASV pueden llevar a cabo los escaneos. Sin embargo, Tenable confía en que los clientes lleven a cabo sus propios escaneos empleando la plantilla de Escaneo Externo Trimestral de la PCI. Esta plantilla evita que los clientes cambien los ajustes de la configuración, como, por ejemplo, la desactivación de las comprobaciones de vulnerabilidades, la asignación de niveles de gravedad, la modificación de parámetros de escaneo, etc. Los clientes emplean escáneres basados en la nube de Tenable Vulnerability Management para escanear sus activos accesibles desde Internet y posteriormente envían informes de escaneos con resultados satisfactorios a Tenable para su validación. Tenable certifica los reportes de escaneado y, luego, el cliente los envía a sus adquirentes o marcas de pago, tal como lo instruyen estas últimas.

Los datos sobre vulnerabilidades no forman parte de los datos de DPD 95/46/EC de la UE, de modo que cualquier requisito sobre la residencia de los datos estará impulsado por el cliente y no por las normativas. Las organizaciones gubernamentales estatales de la UE podrían tener sus propios requisitos de residencia de datos, pero tendrían que evaluarse caso por caso y probablemente no sea un problema para escaneos ASV para la PCI.

Sí, Tenable Vulnerability Management incluye una licencia PCI ASV para un único activo PCI. Algunas organizaciones han pasado por muchas dificultades para limitar los activos en el ámbito para la PCI, con frecuencia, mediante la tercerización de las funciones de procesamiento de pagos. Ya que se puede decir que estos clientes no se encuentran dentro del negocio de la PCI, Tenable ha simplificado su proceso de compra y obtención de licencias. Los clientes pueden cambiar sus activos cada 90 días.

En el caso de clientes que tienen más de un activo PCI exclusivo, la licencia de la solución Tenable PCI ASV se ofrece como un complemento a las suscripciones a Tenable Vulnerability Management.

La cantidad de hosts orientados a la Internet que se encuentran en el interior o proveen una ruta al entorno de datos del titular de la tarjeta (CDE) de una entidad pueden cambiar con frecuencia, lo que genera complejidad en cuanto a la obtención de licencias. Tenable eligió usar un enfoque de concesión de licencias más simple.

Los clientes pueden presentar una cantidad ilimitada de certificaciones trimestrales.

Sí. Una evaluación donde los clientes pueden usar la plantilla PCI Quarterly External Scan para escanear activos y revisar resultados. Sin embargo, no pueden enviar los informes de escaneado para certificación.

La nueva capacidad estará activada automáticamente el 24 de julio de 2017, de modo que los clientes podrán usarla para su próximo escaneo de ASV de la PCI. Los clientes existentes no tendrán que obtener una licencia para la nueva capacidad de PCI ASV durante al menos un año.

Los clientes de SecurityCenter® que ya cuentan con licencias para el Escaneo eterno/PCI comenzarán a emplear Tenable PCI ASV en cuanto esté disponible. En la renovación, estos clientes pueden simplemente hacerlo usando sus SKU existentes. Sin embargo, puede ser ventajoso para ellos adquirir una licencia para Tenable PCI ASV en su lugar.