Preguntas frecuentes sobre el escaneo externo de PCI ASV

PCI ASV hace referencia el requisito 11.2.2 de los Requisitos de la Norma de Seguridad de Datos (Data Security Standard, DSS) de la Industria de las Tarjetas de Pago (Payment Card Industry, PCI) y los Procedimientos de Evaluación de Seguridad que exigen escaneos externos trimestrales de vulnerabilidades, que debe llevar a cabo (o validar) un Proveedor de Escaneos Aprobado (Approved Scanning Vendor, ASV). Un ASV es una organización con un conjunto de servicios y herramientas (“Solución de Escaneo de ASV”) para validar el cumplimiento de los requisitos de escaneo externo del Requisito 11.2.2 de la DSS de la PCI.

La DSS de la PCI exige el escaneo de vulnerabilidades de todos los componentes de sistemas accesibles desde el exterior (que se pueden acceder mediante Internet) propiedad de o utilizados por el cliente de escaneo que son parte del entorno de los datos del titular de la tarjeta, así como cualquier componente de sistemas orientados hacia el exterior que proporcionen una ruta al entorno de datos del titular de la tarjeta.

Las principales fases del escaneo del ASV están conformadas por los siguientes elementos:

• Determinación de alcance: llevado a cabo por el cliente para incluir todos los componentes del sistema con acceso desde la Internet que forman parte del entorno de los datos del titular de la tarjeta.
• Escaneo: mediante el uso de la plantilla de Escaneo Externo Trimestral VM PCI de Tenable.io
• Confección de informes/remediación: se remedian los resultados de los informes intermedios.
• Resolución de controversias: El cliente y el ASV trabajan juntos para documentar y resolver resultados de escaneos objeto de controversias.
• Volver a escanear (según sea necesario): hasta un escaneo aprobado que resuelva las controversias y se generen excepciones.
• Confección del informe final: presentado y entregado de una forma segura.

Los escaneos de vulnerabilidades de ASV son necesarios al menos trimestralmente o después de un cambio importante en la red, como por ejemplo las instalaciones de nuevos componentes en los sistemas, cambios en la topología de la red, modificación de reglas de firewall o actualizaciones del producto.

Un ASV realiza específicamente solo los escaneos externos de vulnerabilidades descritos en el Requisito 11.2 de la DSS de la PCI. Un QSA se refiere a una empresa asesora calificada y capacitada por el Consejo de Normas de Seguridad (Security Standards Council, SSC) de la PCI para la realización de evaluaciones generales in situ relacionadas con la DSS de la PCI.

Sí. Tenable está calificada como un Proveedor de Escaneo Aprobado (ASV) para validar escaneos externos de vulnerabilidades de entornos orientados a la Internet (empleados para almacenar, procesar o transmitir datos del titular de la tarjeta) de comerciantes y proveedores de servicios. El proceso de calificación como ASV consta de tres partes: la primera involucra la calificación de Tenable Network Security como un proveedor. La segunda se relaciona con la calificación de los empleados de Tenable responsables de los Servicios de Escaneo remotos para la PCI. La tercera está conformada por las pruebas de seguridad de la solución de escaneo remoto de Tenable (Tenable.io Vulnerability Management y Tenable.io PCI ASV).

Los ASV pueden llevar a cabo los escaneos. Sin embargo, Tenable confía en que los clientes lleven a cabo sus propios escaneos empleando la plantilla de Escaneo Externo Trimestral de la PCI. Esta plantilla evita que los clientes cambien los ajustes de la configuración, como por ejemplo, la desactivación de las comprobaciones de vulnerabilidades, la asignación de niveles de gravedad, la modificación de parámetros de escaneo, etc. Los clientes usan escáneres en la nube Tenable.io VM para escanear sus entornos orientados a la Internet y, luego, envían informes de escaneos con resultados satisfactorios a Tenable para su validación. Tenable valida los informes de escaneo y, luego, el cliente los envía a sus adquirentes o marcas de pago tal como lo instruyen estas últimas.

Las capacidades nuevas o mejoradas incluyen las siguientes:

• Una IU para que los usuarios escaneen, gestionen, envíen y lleven a cabo el proceso de certificación de ASV.
• Posibilidad de que más de una persona presente controversias y las envíe para la certificación por parte del ASV.
• Posibilidad de aplicar las mismas controversias/excepciones a varias IP.(Posibilidad de crear controversias en función de complementos en vez de por activo)
• Posibilidad de identificar una IP como fuera de alcance
• Posibilidad de anotar controles de compensación

Los datos sobre vulnerabilidades no forman parte de los datos de DPD 95/46/EC de la UE, de modo que cualquier requisito sobre la residencia de los datos estará impulsado por el cliente y no por las normativas. Las organizaciones gubernamentales estatales de la UE podrían tener sus propios requisitos de residencia de datos, pero tendrían que evaluarse caso por caso y probablemente no sea un problema para escaneos ASV para la PCI.

Sí, Tenable.io VM incluye una licencia de PCI ASV para un solo activo de PCI exclusivo.Algunas organizaciones han pasado por muchas dificultades para limitar los activos en el ámbito para la PCI, con frecuencia, mediante la tercerización de las funciones de procesamiento de pagos.Ya que se puede decir que estos clientes no se encuentran dentro del negocio de la PCI, Tenable ha simplificado su proceso de compra y obtención de licencias.Un cliente puede cambiar su activo cada 90 días.

En el caso de clientes que tienen más de un activo de la PCI exclusivo, la licencia de la solución Tenable.io PCI ASV se ofrece como un complemento a las suscripciones a Tenable.io Vulnerability Management.

La cantidad de hosts orientados a la Internet que se encuentran en el interior o proveen una ruta al entorno de datos del titular de la tarjeta (CDE) de una entidad pueden cambiar con frecuencia, lo que genera complejidad en cuanto a la obtención de licencias. Tenable eligió usar un enfoque de concesión de licencias más simple.

Los clientes pueden presentar una cantidad ilimitada de certificaciones trimestrales.

Sí. Un cliente de evaluación puede usar la plantilla de Escaneo Externo Trimestral de la PCI para escanear activos, analizar resultados y crear controversias. Sin embargo, no puede presentar informes de escaneo para su certificación.

La nueva capacidad estará activada automáticamente el 24 de julio de 2017, de modo que los clientes podrán usarla para su próximo escaneo de ASV de la PCI. Los clientes existentes no tendrán que obtener una licencia para la nueva capacidad de PCI ASV durante al menos un año.

Los clientes de SecurityCenter® que ya cuentan con licencias para el Escaneo eterno/PCI comenzarán a emplear Tenable.io PCI ASV en cuanto esté disponible. En la renovación, estos clientes pueden simplemente hacerlo usando sus SKU existentes. Sin embargo, puede ser ventajoso para ellos adquirir una licencia para Tenable.io PCI ASV en su lugar.