Perguntas frequentes externas do PCI ASV

PCI ASV refere-se ao requisito 11.2.2 dos procedimentos de avaliação de segurança e requisitos do Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI), que exige verificações de vulnerabilidade externas trimestrais, que devem ser realizadas (ou atestadas) por um Fornecedor de Verificação Aprovado (ASV). Um ASV é uma organização com serviços e ferramentas ("Solução de verificação do ASV") para validar a adesão à exigência de verificação externa do requisito 11.2.2 do PCI DSS.

O PCI DSS exige a verificação de vulnerabilidades de todos os componentes do sistema que podem ser acessados externamente (voltado à internet) pertencentes ou utilizados pelo cliente de verificação que fazem parte do ambiente de dados do titular do cartão, bem como qualquer componente do sistema voltado externamente que ofereça um caminho para o ambiente de dados do titular do cartão.

As principais fases da verificação do ASV consistem em:

• Definição do escopo: realizado pelo cliente para incluir todos os componentes do sistema voltados à internet que fazem parte do ambiente de dados do titular do cartão.
• Verificação: usando os modelos especificados de PCI e WAS do Tenable Vulnerability Management. Várias seções do ambiente de dados do titular do cartão (CDE) podem ser verificadas individualmente.
• Reúna várias verificações em uma só confirmação.
• Relatórios/correção: os resultados dos relatórios intermediários são corrigidos.
• Resolução de controvérsias: O cliente e o ASV (Tenable) trabalham juntos para documentar e resolver resultados de verificação controversos.
• Nova verificação (conforme a necessidade): até que seja gerada uma verificação aprovada que resolva controvérsias e exceções.
• Reúna várias verificações em uma só confirmação.
• Relatório final: enviado e entregue de forma segura.

As verificações de vulnerabilidade do ASV são necessárias, no mínimo, trimestralmente e após qualquer alteração significativa na rede, como instalação de novos componentes do sistema, alterações na topologia da rede, modificações nas regras do firewall ou atualizações do produto.

O ASV executa especificamente apenas as verificações de vulnerabilidades externas descritas no PCI DSS 11.2. Um QSA se refere a uma empresa avaliadora qualificada e treinada pelo Conselho de Padrões de Segurança (SSC) do PCI para realizar avaliações gerais no local do PCI DSS.

Sim. A Tenable é qualificada como Fornecedor de Verificação Aprovado (ASV) para validar verificações externas de vulnerabilidades de ambientes voltados à internet (usados para armazenar, processar ou transmitir dados do titular do cartão) de comerciantes e provedores de serviços. O processo de qualificação do ASV consiste em três partes: a primeira envolve a qualificação do Tenable Network Security como fornecedor. A segunda se refere à qualificação dos funcionários da Tenable responsáveis pelos serviços remotos de verificação do PCI. A terceira consiste no teste de segurança da solução de verificação remota da Tenable (Tenable Vulnerability Management e Tenable PCI ASV).

Os ASVs podem executar as verificações. No entanto, a Tenable depende dos clientes para conduzirem suas próprias verificações usando o modelo de verificação externa trimestral do PCI. Esse modelo impede que os clientes mudem as definições de configuração, como a desativação de verificações de vulnerabilidades, a atribuição de níveis de gravidade, a alteração de parâmetros de verificação etc. Os clientes usam os verificadores baseados em nuvem do Tenable Vulnerability Management para verificar seus ambientes voltados para a Internet e enviar relatórios de verificação em conformidade à Tenable para atestado. A Tenable atesta os relatórios de verificação e, em seguida, o cliente os envia para seus compradores ou marcas de pagamento, conforme indicação das marcas de pagamento.

Os dados de vulnerabilidades não são dados da DPD 95/46/EC da UE, assim, todos os requisitos de residência de dados devem ser regidos pelo cliente, e não de forma regulamentar. As organizações governamentais estaduais da UE podem ter seus próprios requisitos de residência de dados, mas elas precisariam ser avaliadas caso a caso e, provavelmente, não constituem um problema para as verificações do PCI-ASV.

Sim, o Tenable Vulnerability Management inclui uma licença PCI ASV para um único ativo PCI exclusivo. Algumas organizações têm tido grandes dificuldades em limitar os ativos no escopo do PCI, geralmente terceirizando as funções de processamento de pagamentos.Como se pode dizer que esses clientes "não estão na área do PCI", a Tenable simplificou a aquisição e o licenciamento.O cliente pode mudar seu ativo a cada 90 dias.

Para clientes com mais de um único ativo PCI exclusivo, a solução Tenable PCI ASV é licenciada como um complemento para as assinaturas do Tenable Vulnerability Management.

O número de hosts voltados para a internet que estão em um caminho ou que oferecem um caminho para o ambiente de dados do titular do cartão (CDE) de uma entidade pode mudar com frequência, gerando, assim, a complexidade do licenciamento. A Tenable optou por usar uma abordagem de licenciamento mais simples.

Os clientes podem enviar um número ilimitado de atestados trimestrais.

Sim. Um cliente de avaliação pode usar o modelo PCI Quarterly External Scan para verificar ativos e revisar os resultados. Contudo, ele não pode enviar relatórios de verificação para confirmação.

O novo recurso será ativado automaticamente em 24 de julho de 2017 para que os clientes possam usá-lo na próxima verificação do PCI ASV. Os clientes existentes não precisarão licenciar o novo recurso PCI ASV por, no mínimo, um ano.

Os clientes do SecurityCenter® que já licenciaram a verificação externa/PCI começarão a usar o Tenable PCI ASV depois que ele estiver disponível. Na renovação, esses clientes podem simplesmente usar os SKUs existentes. No entanto, pode ser vantajoso licenciar o Tenable PCI ASV.