Confianza y seguridad

Preguntas frecuentes

¿Cómo protege mis datos Tenable?

Tenable está comprometida en proteger la confidencialidad, integridad y disponibilidad de todos los datos del cliente. Los datos de Tenable Vulnerability Management se cifran en tránsito y se almacenan mediante cifrado TLS. El cifrado AES-256 se aplica a las capas de la infraestructura de la aplicación.

La plataforma en la nube de Tenable está construida sobre redes aisladas y privadas y utiliza varios controles de red tales como aislamiento de contenedor, restricciones de tráfico entrante/interno, monitoreo de tasas de tráfico, orígenes y tipos en múltiples puntos de la red.

Tenable también implementa múltiples controles de acceso para ayudar a que los clientes controlen los datos de acceso y realicen escaneos frecuentes de vulnerabilidades, contenedores Docker y de aplicaciones web con el fin de realizar evaluaciones periódicas de seguridad.

Para obtener descripciones detalladas de las medidas de seguridad aplicadas, consulte la hoja de datos de Seguridad y privacidad de datos.

¿Qué datos del cliente gestiona Tenable Vulnerability Management?

En última instancia, los datos del cliente que gestiona Tenable Vulnerability Management tienen una sola finalidad: ofrecer una experiencia excepcional a medida que los clientes gestionan activos y vulnerabilidades para proteger sus entornos. Para ese fin, Tenable Vulnerability Management gestiona tres categorías de datos del cliente:

1. Datos sobre activos y vulnerabilidades
2. Datos de rendimiento del entorno
3. Datos del nivel de uso del cliente

¿Qué datos de activos y vulnerabilidades del cliente gestiona Tenable Vulnerability Management?

Tenable Vulnerability Management realiza el inventario de activos en las redes de los clientes y gestiona los atributos de los activos que pueden incluir dirección IP, dirección MAC, nombre NetBIOS, sistema operativo y versión, puertos activos y más.

Tenable Vulnerability Management recopila datos detallados actuales e históricos sobre vulnerabilidades y configuración, que pueden incluir el nivel de criticidad, el nivel de capacidad de explotación, el estado de corrección y la actividad en la red. Además, si los clientes mejoran los datos de Tenable Vulnerability Management con integraciones con productos de terceros, como por ejemplo, sistemas de gestión de activos y de parches, Tenable Vulnerabilty Management puede gestionar datos de estos productos.

¿Tenable analiza o usa los datos del cliente?

Tenable convierte datos de clientes en datos anónimos, y los analiza para determinar tendencias en la industria, en el aumento y la mitigación de vulnerabilidades, y en eventos de seguridad. Por ejemplo, la correlación de la presencia de una vulnerabilidad con su explotación tiene enormes beneficios para los clientes de Tenable. Los datos recopilados en nuestra nube no incluyen datos de escaneos que contengan información personal identificable (PII) ni datos personales. Los datos que podrían servir para identificar a un cliente se anonimizan antes de ingresarse a nuestra plataforma de análisis a través de un salted hash unidireccional utilizando SHA-256. Otros beneficios del análisis de datos de Tenable incluyen análisis avanzado y correlación mejorada de los datos del cliente con los de la industria, y eventos y tendencias en materia de seguridad. La recolección y análisis de este tipo de datos permite que los clientes se comparen en pie de igualdad con respecto a otros en la industria o en general. Tenable ofrece un método para que los clientes cancelen su suscripción a este servicio, si así lo desean.

¿Los clientes puede cancelar la suscripción a la recopilación de datos de condición y estado?

Para mantener el rendimiento y disponibilidad de Tenable Vulnerability Management y ofrecer la mejor experiencia del cliente posible, Tenable Vulnerability Management recopila información sobre el estado y la condición de la aplicación específica del cliente. Esto incluye la frecuencia con la cual el escáner se comunica con la plataforma, la cantidad de activos escaneados y versiones del software implementado, así como otra telemetría general para identificar y abordar problemas potenciales en cuanto sea posible.

Tenable usa datos de condición y estado para detectar y abordar problemas potenciales de manera oportunidad, manteniendo los compromisos de SLA de esa forma. Por lo tanto, los clientes no pueden cancelar la suscripción a esta recopilación de datos.

¿Qué datos del nivel de uso recopila Tenable Vulnerability Management?

Para evaluar y mejorar la experiencia del cliente, Tenable recopila datos anónimos del nivel de uso del usuario. Estos datos incluyen acceso a la página, clics y otra actividad del usuario que le otorga a este una opinión en la optimización y mejora de su experiencia.

¿Los usuarios pueden cancelar la suscripción a la recopilación de datos sobre el nivel de uso?

Sí. Un cliente puede solicitar que su contenedor ya no sea parte del proceso de recopilación.

¿Dónde se almacenan los datos de los clientes?

Tenable usa centros de datos y servicios de Amazon Web Services (AWS) para proporcionar Tenable Vulnerability Management a sus clientes. La recopilación y el procesamiento de los datos de escaneo de los clientes tienen lugar dentro de la plataforma en la nube de Tenable en la región geográfica en la cual está hospedada la cuenta del cliente, a menos que el cliente seleccione explícitamente una región geográfica diferente para que residan los datos. Las ubicaciones actuales son las siguientes:

• EE. UU. oriental
• EE. UU. occidental
• Centro de los EE. UU.
• Londres
• Frankfurt
• Sídney
• Singapur
• Canadá
• Japón

Tenable incorporará otros países en el futuro.

Porque todos los datos de los clientes se almacenan en servicios seguros regionales de AWS. Las certificaciones para la protección de datos en la UE que mantiene AWS se aplican a la nube de Tenable. Podrá encontrar más información disponible en https://aws.amazon.com/compliance/eu-data-protection/.

¿Un cliente puede forzar a que los datos permanezcan en una ubicación/país en particular?

Sí. Los datos se almacenan en el país seleccionado cuando se creó la cuenta.

¿Cómo se protegen los datos del cliente dentro de Tenable Vulnerability Management?

Tenable aplica varias medidas de seguridad para ofrecer protección y privacidad a los datos que maneja Tenable Vulnerability Management. Para obtener descripciones detalladas de las medidas de seguridad aplicadas, consulte la hoja de datos de Seguridad y privacidad de datos.

¿Cómo lleva a cabo Tenable un desarrollo seguro?

Puede encontrar información detallada en la hoja de datos de Seguridad y privacidad de datos.

Tenable cuenta con un equipo interdisciplinario que impulsa el ciclo de vida del desarrollo de software seguro (SSDLC). Para enviar productos seguros y de alta calidad a un ritmo rápido, Tenable aprovecha las pruebas de seguridad automatizadas para identificar las vulnerabilidades potenciales dentro del código fuente, las dependencias y la infraestructura subyacente antes de entregarlos a nuestros clientes. Tenable utiliza pruebas de seguridad de aplicaciones estáticas (SAST), dependencias y escaneos de bibliotecas de terceros, pruebas de seguridad de aplicaciones dinámicas (DAST) y pruebas de vulnerabilidad en las imágenes de contenedores. Se sigue un estricto criterio de puntuación que se aplica en todo el proceso de desarrollo.

¿Qué tipo de seguridad de la aplicación del cliente se encuentra disponible?

Tenable proporciona diversos mecanismos para ayudar a los clientes a mantener sus datos seguros y controlar el acceso, incluyendo:

• Los datos de Tenable.io se cifran en tránsito y almacenamiento mediante cifrado TLS y AES-256. Las claves de cifrado se almacenan de manera segura y el acceso a ellas es limitado. El cifrado se aplica a diferentes capas de la infraestructura de la aplicación; está prohibido compartir las claves.
• Tenable protege contra ataques de fuerza bruta mediante el bloqueo de cuentas tras cinco (5) intentos de inicio de sesión fallidos.
• Los clientes pueden configurar una autenticación mediante dos factores a través de los servicios provistos por Twillo.
• Los clientes pueden integrar Tenable Vulnerability Management a su implementación SAML. Tenable Vulnerability Management admite solicitudes iniciadas tanto IdP como SP. Por último, los usuarios pueden restablecer sus contraseñas directamente desde dentro de la aplicación usando su dirección de correo electrónico.
• Los clientes pueden desarrollar conexiones personalizadas con Tenable Vulnerability Management mediante el uso de nuestras API o SDK documentadas. El acceso se puede conceder y controlar mediante la creación de claves específicas de API. Es compatible el uso de claves diferentes para integraciones diferentes sin tener que compartir credenciales de usuario.
• Los datos recopilados en nuestra nube no incluyen ningún dato de escaneo que contenga información personal identificable (PII) ni datos personales. Todos los datos que puedan revelar la identidad del cliente se convierten en anónimos a través de un salted hash unidireccional utilizando SHA-256.
• Para proteger contra las interceptaciones de datos, todas las comunicaciones con la plataforma están cifradas mediante SSL (TLS-1.2). Además, las negociaciones de SSL más antiguas e inseguras se rechazan para garantizar el mayor nivel de protección.

¿Cómo se cifran los datos?

Todos los datos en todos los estados en la plataforma Tenable Vulnerability Management se cifran con al menos un nivel de cifrado, usando sistemas de cifrado ES-256 y TLS.

En reposo: los datos están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.

Algunas clases de datos incluyen un segundo nivel de cifrado por archivo.

En circulación: los datos están cifrados en circulación usando TLS v1.2 con una clave de 4096 bits (esto incluye transportes internos).

Comunicación de sensores de Tenable Vulnerability Management: el tráfico desde los sensores a la plataforma siempre lo inicia el sensor y es saliente solamente en el puerto 443. El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits. Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.

• Autenticación del escáner a la plataforma
• La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación.
• Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner.
• Comunicación de la tarea del escáner a la plataforma
• Los escáneres se contactan con la plataforma cada 30 segundos.
• Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits.
• El escáner solicita la política a la plataforma.
• El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo.

En copias de seguridad o replicación: se almacenan snapshots de volumen y réplicas de datos con el mismo nivel de cifrado que su fuente, no menos que AES-256. Toda la replicación se realiza a través del proveedor. Tenable no realiza la copia de seguridad de ningún dato a medios físicos fuera del sitio o sistemas físicos.

En índices: los datos de índices están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.

Credenciales de escaneo: se almacenan en el interior de una política cifrada dentro de la clave global AES-256 para contenedores. Cuando se lanzan escaneos, la política se cifra con una clave aleatoria de un solo uso de 128 bits y se transporta mediante TLS v1.2 con una clave de 4096 bits.

Gestión de claves: las claves se almacenan centralmente, cifradas con una clave en función de roles, y el acceso es limitado. Todos los datos cifrados se pueden alternar a una clave nueva. Las claves de cifrado de archivos de datos son diferentes en cada sitio regional, al igual que las claves a nivel de discos. El uso compartido de claves está prohibido y los procedimientos de gestión de claves se revisan anualmente.

¿Los clientes puede subir sus propias claves?

El cliente no puede configurar la gestión de claves. Tenable gestiona las claves y su rotación.

¿Tenable ha logrado alguna certificación en materia de privacidad o seguridad, como por ejemplo, Privacy Shield o CSA STAR?

Tenable recibió las siguientes certificaciones:

• Cloud Security Alliance (CSA) STAR
• Privacy Shield Framework
• ISO 27001
• Programa Nacional de Garantía de la Información (NIAP)
• Autorización FedRAMP para Tenable Vulnerability Management y Tenable Web App Scanning

¿Cómo protege Tenable la información personal identificable (PII)?

La plataforma Tenable Vulnerability Management hace todos los esfuerzos para no recopilar datos de tipo PII en un formato que exigiría certificaciones o medidas de seguridad adicionales. Los datos recopilados en nuestra nube no incluyen ningún dato de escaneo que contenga información personal identificable (PII) ni datos personales. Los datos que podrían servir para identificar a un cliente se anonimizan antes de ingresarse a nuestra plataforma de análisis a través de un salted hash unidireccional utilizando SHA-256. Esto incluye números de tarjetas de crédito, números del Seguro Social y otras verificaciones personalizadas. Cuando los complementos de Tenable capturen cadenas de caracteres que puedan contener información sensible o personal, la plataforma hará que no se pueda tener acceso a al menos el 50 % de los caracteres para proteger datos que pueden ser confidenciales.

¿Se separan los datos del cliente?

Los datos de cada cliente se identifican con un "ID de contenedor", que se corresponde con la suscripción específica de un cliente. Este ID de contenedor garantiza que solo ese cliente pueda tener acceso a sus datos.

¿Qué controles de seguridad protege Tenable Vulnerability Management?

Tenable aprovecha sus propias soluciones para realizar escaneos diarios, semanales o mensuales de todas las computadoras portátiles corporativas, la infraestructura y los entornos en la nube. Todos los hallazgos se analizan, se registran y se les da seguimiento de acuerdo con la Política de gestión de vulnerabilidades de Tenable. El Programa de gestión de vulnerabilidades de Tenable abarca el escaneo autenticado, de agentes, de aplicaciones web y de bases de datos. Además, cuenta con los siguientes controles:

• Firewalls y la segmentación de red controlan el acceso.
• Herramientas y procesos automatizados supervisan la plataforma de Tenable Vulnerability Management para registrar el tiempo de actividad y el rendimiento y para detectar conductas anómalas.
• Los registros se monitorean mediante automatización las 24 horas del día, los 7 días de la semana, los 365 días del año y el personal de Tenable está disponible de ese modo para responder a los eventos.
• Pruebas de penetración de nuestras aplicaciones, servicios y negocios en general realizadas por terceros.
• Tenable cuenta con una junta de informes de vulnerabilidades para recibir toda deficiencia o vulnerabilidad identificada por la amplia comunidad de investigadores de seguridad y responder a ella. A medida que los informes identificados se clasifican y se responden, Tenable publica boletines de seguridad en beneficio de los clientes, los clientes potenciales y la comunidad en general.
• Tenable revisa a todos los proveedores externos a través de un riguroso programa de gestión de riesgo.

¿Cómo se protegen los sensores de Tenable Vulnerability Management?

Los sensores que se conectan a la plataforma tienen un papel importantísimo en la seguridad de un cliente, la recopilación de vulnerabilidades y la información de activos. La protección de estos datos y garantizar que las rutas de comunicación sean seguras es una función principal de Tenable Vulnerability Management. Tenable Vulnerability Management admite diversos sensores actualmente: escáneres de vulnerabilidades Nessus, escáneres pasivos y agentes Nessus.

Estos sensores se conectan a la plataforma Tenable Vulnerability Management después de autenticarse y vincular de manera criptográfica con Tenable Vulnerability Management. Una vez enlazado, Tenable Vulnerability Management gestiona todas las actualizaciones (plug-ins, código, etc.) para garantizar que los sensores estén siempre actualizados.

E tráfico desde los sensores a la plataforma siempre es iniciado por el sensor y es saliente solamente en el puerto 443. El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits. Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.

• Autenticación del escáner a la plataforma
• La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación.
• Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner.
• Comunicación de la tarea del escáner a la plataforma
• Los escáneres se contactan con la plataforma cada 30 segundos.
• Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits.
• El escáner solicita la política a la plataforma.
• El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo.

¿Cómo se gestiona la disponibilidad de Tenable Vulnerability Management?

Los servicios de Tenable Vulnerability Management se esfuerzan por proporcionar un tiempo de actividad del 99,95 % o mejor, y han suministrado un tiempo de actividad del 100 % en la mayoría de los servicios. Tenable ha publicado un SLA que describe nuestro compromiso para garantizar que la plataforma esté disponible para todos los usuarios y cómo ofrecemos crédito a los clientes en caso de un tiempo de inactividad imprevisto.

El estado de actividad se determina simplemente mediante pruebas de disponibilidad públicas hospedadas por un tercero que prueba con regularidad la disponibilidad de los servicios. El tiempo de actividad para los servicios (tanto actual como histórico) está disponible en https://status.tenable.com/.

Tenable Vulnerability Management hace un uso extenso de la plataforma AWS y de otras tecnologías líderes para garantizar que nuestros clientes tengan el servicio y la calidad global del mejor nivel posible. A continuación, encontrará una lista de las soluciones que ofrecieron los beneficios a los clientes:

• Clústeres ElasticSearch: los clústeres Elasticsearch cuentan con una disponibilidad elevada y pueden recuperarse de la pérdida de nodos maestros, nodos lb y al menos un (1) nodo de datos, sin que esto afecte la disponibilidad del servicio.
• Elastic Block Stores: se emplean para tomar snapshots diarias y almacenar ocho (8) copias
• Ecosistema Kafka: Kafka y Zookeeper replican datos en el agrupamiento para ofrecer tolerancia al error en caso de la falla catastrófica de cualquier nodo.
• Instancias Postgres: gestionan el marco del microservicio administrativo para mantener 30 días de snapshots

¿Dónde se replican los datos?

Los datos replicados se almacenan dentro de la misma región.

¿Qué capacidades de recuperación ante desastres se encuentran implementadas?

Desastres son eventos que generan la pérdida irrecuperable de datos o equipos en una o más regiones.

Los procedimientos de recuperación ante desastres de Tenable Vulnerability Management tienen varios niveles y están diseñados para reaccionar a situaciones que pueden tener lugar una vez en cinco años a una vez en 50 años. En función del alcance del desastre, los procedimientos de recuperación varían en tiempo de 60 minutos a 24 horas.

¿Quién puede acceder a los datos del cliente?

Los clientes controlan quién tiene acceso a sus datos, incluso mediante la asignación de roles y permisos a su personal y la concesión provisoria de acceso por parte del personal de soporte de Tenable.

¿Cómo se gestionan los roles y permisos para los usuarios?

Los administradores de clientes de Tenable Vulnerability Management pueden asignar roles de usuarios (básico, operador de escaneo, estándar, gerente de escaneo, administrador y desactivado) para gestionar los permisos a funciones importantes en Tenable Vulnerability Management como acceso a escaneos, políticas, escáneres, agentes y listas de activos. Los clientes también pueden asignar grupos de acceso para permitir que grupos de su organización vean activos específicos y vulnerabilidades relacionadas en resultados globales de escaneos, y realizar escaneos con objetivos específicos y ver los resultados individuales del escaneo.

¿El personal de Tenable puede acceder a los datos del cliente?

Sí. El Soporte técnico de Tenable limita los privilegios de representación de Tenable Vulnerability Management a un subconjunto de roles séniores autorizados. Con el permiso del cliente, los miembros sénior autorizados del personal de soporte global de Tenable pueden representar cuentas de usuario, lo que les permite realizar operaciones en Tenable Vulnerability Management como otro usuario sin necesitar obtener la contraseña de ese usuario.

El personal de soporte de Tenable, o el cliente, puede solicitar activar la función. Si el Soporte técnico de Tenable necesita representar a un usuario de Tenable Vulnerability Management, se abre un ticket y se le hace un seguimiento hasta su cierre. El soporte técnico enviará un correo electrónico al cliente después de identificar la necesidad comercial de representación. El cliente tiene la obligación de confirmar por correo electrónico que el soporte técnico está autorizado para representar al usuario. El soporte técnico no representará al usuario hasta que se reciba la aprobación el cliente. Los permisos deben concederse por cada problema registrado ante soporte. El seguimiento de las aprobaciones se realiza dentro del ticket inicial. Tenable no operará conforme a una aceptación general para representar cuentas en cualquier momento.

Tenable cuenta con un proceso de contratación y desvinculación laboral definido. Es obligatorio que todos los empleados firmen acuerdos de confidencialidad como parte de su contratación, y todas las cuentas y claves de acceso se revocan tras su desvinculación. Es obligatorio que todo el personal de operaciones de Tenable Vulnerability Management tenga verificaciones de antecedentes con resultados satisfactorios llevadas a cabo por terceros.

¿Quién puede usar la función de representación?

Solo el administrador de la cuenta y los miembros del personal de soporte sénior de Tenable tienen permitido emplear la función de representación. Todas las cuentas con la capacidad de realizar representaciones requieren de una autenticación mediante dos factores por motivos de seguridad. Tenable audita internamente las representaciones, y los clientes también pueden auditar las representaciones realizadas en su cuenta. Todas las representaciones se registran en registros de auditoría, y todos los clientes de Tenable Vulnerability Management pueden auditar las representaciones mediante la API. Tenable documenta cómo extraer los registros de auditoría en el siguiente documento público: https://developer.tenable.com/reference#audit-log. Tenga en cuenta que existe una cuenta automatizada, ([email protected]), que a veces puede aparecer en estos registros de auditoría.

¿Los datos salen del país cuando Tenable está realizando la resolución de un problema técnico?

Tenable hace todos los esfuerzos posibles para garantizar que los datos de los clientes se encuentren protegidos y garantizamos que se cumplan sus políticas al trabajar con ellos para asegurarnos de que los datos permanezcan en la región donde son necesarios. No obstante, la representación de un usuario puede dar lugar a que los datos salgan de la ubicación principal. Hay instancias en las que los casos deben utilizar un proceso las 24 horas del día cuando el trabajo en el caso debe continuar por fuera del horario comercial local. También existen instancias en las cuales los clientes pueden enviar un informe por correo electrónico a Tenable o quebrantar su propia política enviando correos electrónicos fuera de su región.

Para los clientes que utilizan un producto Tenable autorizado por FedRamp, estos datos siempre permanecen dentro de los EE. UU.

¿El personal de soporte de Tenable tendrá acceso a la red interna de un cliente?

No. El escáner inicia todo el tráfico y solo es saliente. Los escáneres están instalados detrás del firewall del cliente, y los clientes pueden controlar el acceso de tales escáneres a través de su firewall.

¿Cuál es la política de retención de datos de Tenable Vulnerability Management?

La política de retención de datos para Tenable Vulnerability Management y para otros productos hospedados por Tenable es de 12 meses de retención para los clientes existentes. Los datos de los clientes que finalizan la suscripción de un producto se conservarán durante treinta (30) días desde la fecha de finalización. La política de retención de datos de Tenable con respecto a los escaneos PCI coincide con los requisitos vigentes establecidos por el Consejo de Normas de Seguridad de PCI.

¿Durante cuánto tiempo se conservan los datos de escaneos activos?

La posibilidad de medir progreso a lo largo del tiempo es una función principal de la plataforma Tenable Vulnerability Management. Tenable Vulnerability Management almacenará automáticamente datos de los clientes durante 12 meses para permitirles realizar reportes sobre un período de tiempo de 1 año.

Si un cliente interrumpe el servicio de Tenable Vulnerability Management, ¿durante cuánto tiempo se conservan sus datos?

En caso de que caduque o venza la cuenta de un cliente, Tenable conservará los datos como estaban al momento del vencimiento durante no más de 30 días. Pasado ese tiempo, estos datos pueden eliminarse y no podrán recuperarse.

¿Durante cuanto tiempo se conservan datos relacionados con PCI?

Los datos que están involucrados en un proceso de validación de cumplimiento de PCI no se eliminan hasta al menos tres años después de la fecha de la certificación de PCI, conforme los requisitos de las normativas de PCI. Tenable conserva estos datos durante este plazo de tiempo, incluso si el cliente opta por eliminar sus escaneos o cuenta, o rescinde su servicio de Tenable Vulnerability Management.

¿Durante cuánto tiempo se conservan los datos de nivel de uso de Tenable Vulnerability Management?

Para garantizar la mejor experiencia posible, Tenable recopila esta información siempre que el contenedor del cliente permanezca activo. Una vez que el cliente interrumpa el servicio, los datos no se conservarán durante un plazo mayor a 30 días.

¿Tenable Vulnerability Management cuenta con certificación de Common Criteria?

Por lo general, la certificación Common Criteria no se aplica a una solución SaaS, ya que la frecuencia de las actualizaciones no se presta a un proceso de certificación cuya realización demanda entre seis a nueve (6 a 9) meses. Tenable logró la certificación Common Criteria en los productos Tenable Security Center, Nessus Manager, Nessus Agents y Log Correlation Engine (LCE).