Preguntas frecuentes sobre el escaneo externo de PCI ASV
Pruebe Tenable.io Vulnerability Management
Realice su primer escaneo en menos de 60 segundos.
PCI ASV
¿Qué significa ASV de la PCI?
PCI ASV hace referencia el requisito 11.2.2 de los Requisitos de la Norma de Seguridad de Datos (Data Security Standard, DSS) de la Industria de las Tarjetas de Pago (Payment Card Industry, PCI) y los Procedimientos de Evaluación de Seguridad que exigen escaneos externos trimestrales de vulnerabilidades, que debe llevar a cabo (o validar) un Proveedor de Escaneos Aprobado (Approved Scanning Vendor, ASV). Un ASV es una organización con un conjunto de servicios y herramientas (“Solución de Escaneo de ASV”) para validar el cumplimiento de los requisitos de escaneo externo del Requisito 11.2.2 de la DSS de la PCI.
¿Qué sistema se encuentran dentro del ámbito del Escaneo del ASV?
La DSS de la PCI exige el escaneo de vulnerabilidades de todos los componentes de sistemas accesibles desde el exterior (que se pueden acceder mediante Internet) propiedad de o utilizados por el cliente de escaneo que son parte del entorno de los datos del titular de la tarjeta, así como cualquier componente de sistemas orientados hacia el exterior que proporcionen una ruta al entorno de datos del titular de la tarjeta.
¿Cuál es el proceso del ASV?
Las principales fases del escaneo del ASV están conformadas por los siguientes elementos:
- Determinación de alcance: llevado a cabo por el cliente para incluir todos los componentes del sistema con acceso desde la Internet que forman parte del entorno de los datos del titular de la tarjeta.
- Escaneo: mediante el uso de la plantilla de Escaneo Externo Trimestral VM PCI de Tenable.io
- Confección de informes/remediación: se remedian los resultados de los informes intermedios.
- Resolución de controversias: El cliente y el ASV trabajan juntos para documentar y resolver resultados de escaneos objeto de controversias.
- Volver a escanear (según sea necesario): hasta un escaneo aprobado que resuelva las controversias y se generen excepciones.
- Confección del informe final: presentado y entregado de una forma segura.
¿Con qué frecuencia son necesarios los escaneos del ASV?
Los escaneos de vulnerabilidades de ASV son necesarios al menos trimestralmente o después de un cambio importante en la red, como por ejemplo las instalaciones de nuevos componentes en los sistemas, cambios en la topología de la red, modificación de reglas de firewall o actualizaciones del producto.
¿De qué forma un Proveedor de Escaneo Aprobado (ASV) es diferente de un Asesor de Seguridad Calificado (Qualified Security Assessor, QSA)?
Un ASV realiza específicamente solo los escaneos externos de vulnerabilidades descritos en el Requisito 11.2 de la DSS de la PCI. Un QSA se refiere a una empresa asesora calificada y capacitada por el Consejo de Normas de Seguridad (Security Standards Council, SSC) de la PCI para la realización de evaluaciones generales in situ relacionadas con la DSS de la PCI.
Capacidades de la solución Tenable.io PCI ASV
¿Tenable es un ASV certificado para la PCI?
Sí. Tenable está calificada como un Proveedor de Escaneo Aprobado (ASV) para validar escaneos externos de vulnerabilidades de entornos orientados a la Internet (empleados para almacenar, procesar o transmitir datos del titular de la tarjeta) de comerciantes y proveedores de servicios. El proceso de calificación como ASV consta de tres partes: la primera involucra la calificación de Tenable Network Security como un proveedor. La segunda se relaciona con la calificación de los empleados de Tenable responsables de los Servicios de Escaneo remotos para la PCI. La tercera está conformada por las pruebas de seguridad de la solución de escaneo remoto de Tenable (Tenable.io Vulnerability Management y Tenable.io PCI ASV).
Como un Proveedor de Escaneo Aprobado (ASV), ¿Tenable realmente lleva a cabo los escaneos?
¿En qué forma el producto nuevo es diferente del producto existente?
Las capacidades nuevas o mejoradas incluyen las siguientes:
- Una IU para que los usuarios escaneen, gestionen, envíen y lleven a cabo el proceso de certificación de ASV.
- Posibilidad de que más de una persona presente controversias y las envíe para la certificación por parte del ASV.
- Posibilidad de aplicar las mismas controversias/excepciones a varias IP.(Posibilidad de crear controversias en función de complementos en vez de por activo)
- Posibilidad de identificar una IP como fuera de alcance
- Posibilidad de anotar controles de compensación
Soberanía de datos
¿Tenable.io PCI ASV cumple con los requisitos de soberanía de datos de la UE?
Los datos sobre vulnerabilidades no forman parte de los datos de DPD 95/46/EC de la UE, de modo que cualquier requisito sobre la residencia de los datos estará impulsado por el cliente y no por las normativas. Las organizaciones gubernamentales estatales de la UE podrían tener sus propios requisitos de residencia de datos, pero tendrían que evaluarse caso por caso y probablemente no sea un problema para escaneos ASV para la PCI.
Precio/obtención de licencias/pedidos de Tenable.io ASV
¿Tenable.io VM incluye alguna licencia PCI ASV?
Sí, Tenable.io VM incluye una licencia de PCI ASV para un solo activo de PCI exclusivo.Algunas organizaciones han pasado por muchas dificultades para limitar los activos en el ámbito para la PCI, con frecuencia, mediante la tercerización de las funciones de procesamiento de pagos.Ya que se puede decir que estos clientes no se encuentran dentro del negocio de la PCI, Tenable ha simplificado su proceso de compra y obtención de licencias.Un cliente puede cambiar su activo cada 90 días.
¿De qué forma se conceden licencias para Tenable.io PCI ASV?
En el caso de clientes que tienen más de un activo de la PCI exclusivo, la licencia de la solución Tenable.io PCI ASV se ofrece como un complemento a las suscripciones a Tenable.io Vulnerability Management.
¿Por qué no se conceden licencias para Tenable.io PCI ASV de acuerdo con la cantidad de activos de la PCI orientados a la Internet de un cliente?
La cantidad de hosts orientados a la Internet que se encuentran en el interior o proveen una ruta al entorno de datos del titular de la tarjeta (CDE) de una entidad pueden cambiar con frecuencia, lo que genera complejidad en cuanto a la obtención de licencias. Tenable eligió usar un enfoque de concesión de licencias más simple.
¿Cuántas certificaciones puede presentar un cliente por trimestre?
Los clientes pueden presentar una cantidad ilimitada de certificaciones trimestrales.
¿Los clientes de prueba/evaluación reúnen los requisitos para evaluar Tenable.io PCI ASV?
Sí. Un cliente de evaluación puede usar la plantilla de Escaneo Externo Trimestral de la PCI para escanear activos, analizar resultados y crear controversias. Sin embargo, no puede presentar informes de escaneo para su certificación.
¿De qué forma los clientes existentes de Tenable.io VM pasarán a la nueva capacidad?
La nueva capacidad estará activada automáticamente el 24 de julio de 2017, de modo que los clientes podrán usarla para su próximo escaneo de ASV de la PCI. Los clientes existentes no tendrán que obtener una licencia para la nueva capacidad de PCI ASV durante al menos un año.
¿De qué forma los clientes de SecurityCenter que han obtenido licencias para la capacidad actual de PCI ASV pasarán a la nueva capacidad?
Los clientes de SecurityCenter® que ya cuentan con licencias para el Escaneo eterno/PCI comenzarán a emplear Tenable.io PCI ASV en cuanto esté disponible. En la renovación, estos clientes pueden simplemente hacerlo usando sus SKU existentes. Sin embargo, puede ser ventajoso para ellos adquirir una licencia para Tenable.io PCI ASV en su lugar.