PCI ASV 外部常见问题

PCI ASV

何为 PCI ASV？

PCI ASV 是指支付卡行业 (PCI) 数据安全标准 (DSS) 要求的规定 11.2.2，以及要求每季度进行一次外部漏洞扫描的安全评估程序，该程序须由经过批准的扫描供应商 (ASV) 执行（或证明）。ASV 是具有一组服务和工具（“ASV 扫描解决方案”）的组织，可验证对 PCI DSS 要求 11.2.2 外部扫描规定的遵守情况。

哪些系统属于 ASV 扫描的范围？

PCI DSS 要求对以下组件进行漏洞扫描：作为持卡人数据环境的一部分，为扫描客户所拥有或使用的一切外部可访问（面向互联网）系统组件；以及任何面向外部、为持卡人数据环境提供路径的系统组件。

ASV 流程是什么？

ASV 扫描的主要阶段包括：

• 审查：由客户执行，以包括所有作为持卡人数据环境的一部分面向互联网的系统组件。
• 扫描：使用指定的 Tenable Vulnerability Management PCI 和 WAS 模版。可分别扫描多个持卡人数据环境 (CDE) 分区。
• 将多次扫描合并成一份证明
• 报告/修复：对中期报告的结果进行修复。
• 争议解决：客户和 ASV (Tenable) 携手，记录并解决有争议的扫描结果。
• 重新扫描（视需要）：直到生成争议和异常得到解决的合格扫描。
• 将多次扫描合并成一份证明
• 最终报告：以安全的方式提交并交付。

ASV 流程是什么？

ASV 漏洞扫描需要至少每季度进行一次，并在网络上发生以下任何重大改变后进行：例如新系统组件的安装、网络拓扑结构的改变、防火墙规则的修改或产品升级。

经过批准的扫描供应商 (ASV) 与合格安全评估商 (QSA) 有何不同？

ASV 仅执行 PCI DSS 11.2 中所述的特定外部漏洞扫描。QSA 是指经过 PCI 安全标准委员会 (SSC) 资格验证和培训、以执行一般 PCI DSS 现场评估的评估商公司。

Tenable 是否为经过认证的 PCI ASV？

是。Tenable 作为一家经过批准的扫描供应商 (ASV)，有资格验证商家和服务提供商面向互联网环境（用于存储、处理或传输持卡人数据）执行的外部漏洞扫描。ASV 资格认证流程由三部分组成：第一部分涉及 Tenable Network Security 作为供应商的资格。第二部分是关于负责远程 PCI 扫描服务的 Tenable 员工的资格。第三部分包含 Tenable 的远程扫描解决方案 (Tenable Vulnerability Management 和 Tenable PCI ASV）的安全测试。

作为经过批准的扫描供应商 (ASV)，Tenable 是否切实执行扫描？

ASV 可执行扫描。不过，Tenable 依赖于客户使用 PCI 季度外部扫描模板自行进行扫描。该模板可防止客户更改配置设定，例如禁用漏洞检查、分配严重级别、更改扫描参数等。客户使用 Tenable Vulnerability Management 基于云的扫描程序来扫描其面向互联网的环境，然后向 Tenable 提交合规扫描报告作为证明。 Tenable 认证扫描报告后，客户可按照支付品牌的指示将其提交给收购方或支付品牌。

数据主权

Tenable PCI ASV 是否符合欧盟数据主权要求？

漏洞数据并非欧盟 DPD 95/46/EC 数据，因此任何数据驻留要求均由客户而非监管机构提出。欧盟国家的政府组织可提出自己的驻留要求，但这些要求须根据具体情况逐一进行评估，而且可能并非是 PCI-ASV 扫描方面的问题。

Tenable Vulnerability Management ASV 定价/许可/订购

Tenable Vulnerability Management 是否包含任何 PCI ASV 许可证？

是，Tenable Vulnerability Management 针对单个、唯一 PCI 资产包含 PCI ASV 许可证。某些组织大费周章地对 PCI 范围内的资产进行限制，一般是通过外包支付处理功能。由于这些客户可能“不从事 PCI 业务”，Tenable 已对其购买和许可流程进行简化。客户可以每 90 天变更一次资产。

Tenable PCI ASV 如何进行许可授权？

对于拥有不止一项独特 PCI 资产的客户，可以 Tenable Vulnerability Management 订阅的附加组件的方式授予 Tenable PCI ASV 许可。

为何 Tenable PCI ASV 不根据客户面向互联网的 PCI 资产数量进行许可授权？

在某一实体的持卡人数据环境 (CDE) 内或向其提供路径的面向互联网的主机数量可能频繁变化，从而导致许可过程错综复杂。Tenable 选择使用更为简便的许可方法。

客户每季度可以提交多少份证明？

客户可以提交不限数量的季度证明。

进行试用/评估的客户是否有资格评估 Tenable PCI ASV？

是。评估客户可以使用 PCI 季度外部扫描模板来扫描资产并查看结果。但是，他们无法提交扫描报告进行认证。

现有的 Tenable Vulnerability Management 客户如何转换使用新功能？

新功能将在 2017 年 7 月 24 日自动激活，客户可将其应用于下一次 PCI ASV 扫描。现有客户无需在至少一年的时间内授权新 PCI ASV 功能许可。

具有目前 PCI ASV 功能许可的 SecurityCenter 客户如何转为使用新功能？

已授权许可外部/PCI 扫描的 SecurityCenter® 客户在 Tenable PCI ASV 投入使用后即可开始应用。在续订时，这些客户可使用现有 SKU 轻松续费。不过，授权许可 Tenable PCI ASV 可能对他们更为有利。