19.08.2019
Багатьом компаніям необхідно пройти процедуру сертифікації за стандартом PCI DSS. На цю тему ми надали багато корисного матеріалу в блозі проекту Get PCI.
У цій статті ми розповімо те, про що раніше не говорили. Тому цей текст буде дуже інформативним для всіх, кого цікавить сертифікація за стандартом PCI DSS.
Коли компанія розпочинає процедуру сертифікації за стандартом PCI DSS, вона неминуче стикається з вимогою стандарту про щоквартальне ASV-сканування.
У цій статті ми розберемо, що це таке – ASV-сканування, яким компаніям необхідно його проходити і як таке сканування зробити максимально простим та комфортним.
Перше:Що таке ASV-сканування?
ASV-сканування - це спеціальний вид перевірки всіх існуючих точок ІТ-інфраструктури, що мають доступ до мережі Інтернет, на виявлення вразливості. Це сканування регламентується вимогою PCI DSS №11.2.
ASV-сканування настільки важливе, що платіжні системи Visa та MasterCard вимагають проходити це сканування окремо від сертифікації за стандартом PCI DSS. Для цього сканування розроблено окремий стандарт ASV program Guide, і проводити його мають право лише спеціалізовані акредитовані компанії. Причому фахівці такої компанії повинні щорічно проходити навчання та сертифікацію. Наша компанія акредитована та має право проводити ASV-сканування. Запрошуємо представників усіх видів бізнесу отримати вичерпну інформацію на цю тему.
Важливо, що у ASV-скануванні регламентовано буквально все:● Як визначити те, що має бути проскановано;● Процедура самого сканування;● Визначено, який сканер можна використовувати;● Точна процедура обговорення та оскарження результатів;● Встановлений формат звіту.
Друге:Яким компаніям необхідно проходити ASV-сканування?
ASV-сканування повинні проходити всі компанії, яким необхідно відповідати стандарту PCI DSS. При цьому вид бізнесу, масштаб, зберігання або не зберігання даних не мають жодного значення. Сканування має бути проведене – це обов'язкова умова.
Навіть якщо компанія працює всього з одним комп'ютером, наприклад, це може бути інтернет-магазин, ресторан або послуги з бронювання авіаквитків, все одно необхідно проходити ASV-сканування.
Винятки існують! Якщо компанія безпосередньо не взаємодіє з даними платіжних карток і не має ІТ-інфраструктури, пов'язаної з цим. Хороший приклад такого виключення - центр обробки даних, який надає приміщення розміщення серверів, але своїх серверів не має.
Третє:Як провести ASV-сканування максимально просто?
Припустимо, що в компанії добре налагоджений процес управління вразливістю та своєчасного оновлення ІТ-систем, у такому варіанті ASV-сканування пройде швидко та без проблем.
Під час підготовки до проходження ASV-сканування важливо звернути увагу на таке:● Сканування необхідно проводити для всіх IP-адрес, через які компанія підключена до мережі Інтернет. Навіть якщо через ці IP-адреси не відбувається передачі даних платіжних карток, їх все одно потрібно включати в область сканування.● З мережі компанії назовні не повинні бути виставлені небезпечні мережеві служби, такі як: TELNET, FTP, RDP.● Якщо компанія публікує в інтернет веб-додатки, дуже важливо, щоб для них використовувалися надійні алгоритми шифрування та коректні цифрові сертифікати. Не зайвою також буде перевірка веб-застосунків перед запуском на наявність типових помилок відповідно до стандарту WASP.Org.
ASV-сканування - проста процедура, але в багатьох компаній виникають складнощі з її проходженням. Розуміючи це, ми надаємо всіляку допомогу, зокрема безкоштовну у виправленні будь-яких уразливостей і проходженні даного сканування завжди з позитивним результатом!
Вашій компанії необхідно пройти ASV-сканування?
Зв'яжіться з нами зараз, і ми зробимо все можливе, щоб проходження цього сканування було швидким і максимально комфортним для вас!