Внешнее сканирование уязвимостей (Approved Scanning Vendor – ASV)

Цель: Выполнение заказчиком требования 11.2 PCI DSS в части внешних сканирований уязвимостей.Внешние сканирования систем и сервисов, хранящих, обрабатывающих, передающих данныеплатежных карт, должны выполняться ежеквартально, либо после значительных модернизацийинфраструктуры. В качестве провайдеров сканирования должны привлекаться исключительноорганизации, имеющие статус «Уполномоченный провайдер сканирования» (Approved ScanningVendor – ASV), присвоенный PCI SSC. Отчет о выполненном внешнем сканировании уязвимостей,подтверждающий отсутствие уязвимостей высокого и среднего риска, является обязательнымдокументом для подтверждения организацией своего соответствия требованиям PCI DSS.

Внешнее сканирование уязвимостей осуществляется через Интернет. Перед выполнениемпервого сканирования Заказчику необходимо внедрить сегментацию сети и отделить (физическии/или логически) системы и сервисы, относящиеся к области действия стандарта PCI DSS, от прочей ИТ-инфраструктуры. Исходными данными для сканера являются внешние IP-адреса, черезкоторые системы Заказчика, задействованные в обработке данных платежных карт, «видимы» изИнтернет. По окончании сканирования Заказчик получает отчет, содержащий переченьуязвимостей, найденных сканером в его инфраструктуре.Отчет содержит развернутую информацию по каждой найденной уязвимости, включая уровеньриска, статус PCI, CVSS-оценку, семейство, развернутое описание, CVE-код, способ устранения имногое другое. Отчет будет иметь статус «Не соответствует» требованиям PCI, если он содержитхотя бы одну уязвимость со статусом PCI «Не соответствует».

Для получения отчета со статусом «Соответствует», необходимо устранить все уязвимости,наличие которых недопустимо с точки зрения PCI. Устранение уязвимостей выполняетсяЗаказчиком самостоятельно. После устранения всех или части выполняется пересканирование,чтобы убедиться в том, что уязвимости действительно устранены. Цикл повторяется до тех пор,пока не будут устранены все уязвимости и не будет получен отчет со статусом «Соответствует»требованиям PCI. Отчет действует в течение 90 дней, до окончания это периода должен бытьвыполнен новый цикл сканирования.Услуга включает:

  • Абонентское обслуживание в течение одного года с предоставлением до четырех отчетов со
  • статусом «Соответствует» требованиям PCI,
  • Выполнение сканирований в день поступления заявки, предоставление отчета не позднее
  • следующего рабочего дня,
  • Количество пересканирований (отчетов со статусом «Не соответствует») неограниченно и входит
  • в стоимость услуги.