Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Pesquisa Recurso - BlogRecurso - WebinarRecurso - RelatórioRecurso - Eventoícones_066 ícones_067ícones_068ícones_069ícones_070

Perguntas frequentes externas do PCI ASV

Experimente o Tenable Vulnerability Management

Execute a sua primeira verificação em menos de 60 segundos.

Avalie já

PCI ASV

O que é PCI ASV?

PCI ASV refere-se ao requisito 11.2.2 dos procedimentos de avaliação de segurança e requisitos do Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI), que exige verificações de vulnerabilidade externas trimestrais, que devem ser realizadas (ou atestadas) por um Fornecedor de Verificação Aprovado (ASV). Um ASV é uma organização com serviços e ferramentas ("Solução de verificação do ASV") para validar a adesão à exigência de verificação externa do requisito 11.2.2 do PCI DSS.

Quais sistemas estão no escopo de verificação do ASV?

O PCI DSS exige a verificação de vulnerabilidades de todos os componentes do sistema que podem ser acessados externamente (voltado à internet) pertencentes ou utilizados pelo cliente de verificação que fazem parte do ambiente de dados do titular do cartão, bem como qualquer componente do sistema voltado externamente que ofereça um caminho para o ambiente de dados do titular do cartão.

O que é o processo do ASV?

As principais fases da verificação do ASV consistem em:

  • Definição do escopo: realizado pelo cliente para incluir todos os componentes do sistema voltados à internet que fazem parte do ambiente de dados do titular do cartão.
  • Verificação: usando os modelos especificados de PCI e WAS do Tenable Vulnerability Management. Várias seções do ambiente de dados do titular do cartão (CDE) podem ser verificadas individualmente.
  • Reúna várias verificações em uma só confirmação.
  • Relatórios/correção: os resultados dos relatórios intermediários são corrigidos.
  • Resolução de controvérsias: O cliente e o ASV (Tenable) trabalham juntos para documentar e resolver resultados de verificação controversos.
  • Nova verificação (conforme a necessidade): até que seja gerada uma verificação aprovada que resolva controvérsias e exceções.
  • Reúna várias verificações em uma só confirmação.
  • Relatório final: enviado e entregue de forma segura.

Com que frequência as verificações do ASV são necessárias?

As verificações de vulnerabilidade do ASV são necessárias, no mínimo, trimestralmente e após qualquer alteração significativa na rede, como instalação de novos componentes do sistema, alterações na topologia da rede, modificações nas regras do firewall ou atualizações do produto.

De que forma um Fornecedor de Verificação Aprovado (ASV) difere de um Avaliador de Segurança Qualificado (QSA)?

O ASV executa especificamente apenas as verificações de vulnerabilidades externas descritas no PCI DSS 11.2. Um QSA se refere a uma empresa avaliadora qualificada e treinada pelo Conselho de Padrões de Segurança (SSC) do PCI para realizar avaliações gerais no local do PCI DSS.

A Tenable é um PCI ASV certificado?

Sim. A Tenable é qualificada como Fornecedor de Verificação Aprovado (ASV) para validar verificações externas de vulnerabilidades de ambientes voltados à internet (usados para armazenar, processar ou transmitir dados do titular do cartão) de comerciantes e provedores de serviços. O processo de qualificação do ASV consiste em três partes: a primeira envolve a qualificação do Tenable Network Security como fornecedor. A segunda se refere à qualificação dos funcionários da Tenable responsáveis pelos serviços remotos de verificação do PCI. A terceira consiste no teste de segurança da solução de verificação remota da Tenable (Tenable Vulnerability Management e Tenable PCI ASV).

Como um Fornecedor de Verificação Aprovado (ASV), a Tenable realmente executa as verificações?

Os ASVs podem executar as verificações. No entanto, a Tenable depende dos clientes para conduzirem suas próprias verificações usando o modelo de verificação externa trimestral do PCI. Esse modelo impede que os clientes mudem as definições de configuração, como a desativação de verificações de vulnerabilidades, a atribuição de níveis de gravidade, a alteração de parâmetros de verificação etc. Os clientes usam os verificadores baseados em nuvem do Tenable Vulnerability Management para verificar seus ambientes voltados para a Internet e enviar relatórios de verificação em conformidade à Tenable para atestado. A Tenable atesta os relatórios de verificação e, em seguida, o cliente os envia para seus compradores ou marcas de pagamento, conforme indicação das marcas de pagamento.

Soberania de dados

O Tenable PCI ASV está em conformidade com os requisitos de soberania de dados da UE?

Os dados de vulnerabilidades não são dados da DPD 95/46/EC da UE, assim, todos os requisitos de residência de dados devem ser regidos pelo cliente, e não de forma regulamentar. As organizações governamentais estaduais da UE podem ter seus próprios requisitos de residência de dados, mas elas precisariam ser avaliadas caso a caso e, provavelmente, não constituem um problema para as verificações do PCI-ASV.


Preço/licenciamento/pedido do Tenable Vulnerability Management ASV

O Tenable Vulnerability Management inclui alguma licença PCI ASV?

Sim, o Tenable Vulnerability Management inclui uma licença PCI ASV para um único ativo PCI exclusivo. Algumas organizações têm tido grandes dificuldades em limitar os ativos no escopo do PCI, geralmente terceirizando as funções de processamento de pagamentos.Como se pode dizer que esses clientes "não estão na área do PCI", a Tenable simplificou a aquisição e o licenciamento.O cliente pode mudar seu ativo a cada 90 dias.

Como o Tenable PCI ASV é licenciado?

Para clientes com mais de um único ativo PCI exclusivo, a solução Tenable PCI ASV é licenciada como um complemento para as assinaturas do Tenable Vulnerability Management.

Por que o Tenable PCI ASV não é licenciado de acordo com o número de ativos PCI voltados para a Internet de um cliente?

O número de hosts voltados para a internet que estão em um caminho ou que oferecem um caminho para o ambiente de dados do titular do cartão (CDE) de uma entidade pode mudar com frequência, gerando, assim, a complexidade do licenciamento. A Tenable optou por usar uma abordagem de licenciamento mais simples.

Quantos atestados um cliente pode enviar por trimestre?

Os clientes podem enviar um número ilimitado de atestados trimestrais.

Os clientes de teste/avaliação qualificam-se para avaliar o Tenable PCI ASV?

Sim. Um cliente de avaliação pode usar o modelo PCI Quarterly External Scan para verificar ativos e revisar os resultados. Contudo, ele não pode enviar relatórios de verificação para confirmação.

Como os clientes existentes do Tenable Vulnerability Management farão a transição para o novo recurso?

O novo recurso será ativado automaticamente em 24 de julho de 2017 para que os clientes possam usá-lo na próxima verificação do PCI ASV. Os clientes existentes não precisarão licenciar o novo recurso PCI ASV por, no mínimo, um ano.

Como os clientes do SecurityCenter que licenciaram o atual recurso PCI ASV farão a transição para o novo recurso?

Os clientes do SecurityCenter® que já licenciaram a verificação externa/PCI começarão a usar o Tenable PCI ASV depois que ele estiver disponível. Na renovação, esses clientes podem simplesmente usar os SKUs existentes. No entanto, pode ser vantajoso licenciar o Tenable PCI ASV.