19.08.2019
Wiele firm musi przejść proces certyfikacji zgodnie ze standardem PCI DSS. Na ten temat udostępniliśmy wiele przydatnych materiałów na blogu projektu Get PCI. 
W tym artykule omówimy to, o czym wcześniej nie mówiliśmy. Dlatego tekst ten będzie bardzo informatywny dla wszystkich zainteresowanych certyfikacją zgodnie ze standardem PCI DSS. 
Kiedy firma rozpoczyna proces certyfikacji zgodnie ze standardem PCI DSS, nieuchronnie spotyka się z wymogiem standardu dotyczącego kwartalnego skanowania ASV. 
W tym artykule omówimy, czym jest skanowanie ASV, dla jakich firm jest to konieczne i jak uczynić to skanowanie maksymalnie łatwym i wygodnym. 
Pierwsze: Czym jest skanowanie ASV?
Skanowanie ASV to specjalny rodzaj sprawdzania wszystkich istniejących punktów infrastruktury IT, które mają dostęp do Internetu, w celu wykrycia podatności. To skanowanie jest regulowane wymogiem PCI DSS nr 11.2. 
Skanowanie ASV jest tak istotne, że systemy płatnicze Visa i MasterCard wymagają przeprowadzenia tego skanowania osobno od certyfikacji zgodnie ze standardem PCI DSS. Dla tego skanowania opracowano osobisty standard ASV Program Guide, a przeprowadzać je mogą tylko wyspecjalizowane, akredytowane firmy. Ponadto specjaliści takiej firmy muszą przechodzić roczne szkolenia i certyfikacje. Nasza firma jest akredytowana i upoważniona do przeprowadzania skanowania ASV. Zapraszamy przedstawicieli wszystkich branż do uzyskania szczegółowych informacji na ten temat. 
Warto zauważyć, że skanowanie ASV jest dosłownie uregulowane we wszystkich aspektach: ● Jak określić, co powinno być skanowane; ● Procedura samego skanowania; ● Określono, jakiego skanera można używać; ● Dokładna procedura omawiania i zakwestionowania wyników; ● Ustalono format raportu. 
Drugie: Które firmy muszą przechodzić skanowanie ASV?
Skanowanie ASV muszą przejść wszystkie firmy, które muszą spełnić wymogi standardu PCI DSS. Warto zauważyć, że rodzaj działalności, skala, przechowywanie lub brak przechowywania danych nie mają znaczenia. Skanowanie musi być przeprowadzone - to obowiązkowy warunek. 
Nawet jeśli firma działa tylko z jednym komputerem, na przykład internetowym sklepem, restauracją czy usługami rezerwacji biletów lotniczych, nadal konieczne jest przeprowadzenie skanowania ASV. 
Są wyjątki! Jeśli firma nie ma bezpośredniego kontaktu z danymi kart płatniczych i nie ma związanej z tym infrastruktury IT. Dobrym przykładem takiego wyjątku jest centrum przetwarzania danych, które dostarcza miejsce na serwery, ale nie posiada swoich serwerów. 
Trzecie: Jak przeprowadzić skanowanie ASV w sposób maksymalnie prosty?
Załóżmy, że w firmie proces zarządzania podatnością i aktualizacji systemów IT jest dobrze skonfigurowany, w takim przypadku skanowanie ASV przebiegnie szybko i bezproblemowo. 
Podczas przygotowywania się do przeprowadzenia skanowania ASV ważne jest zwrócenie uwagi na następujące kwestie: ● Skanowanie należy przeprowadzić dla wszystkich adresów IP, przez które firma jest podłączona do Internetu. Nawet jeśli przez te adresy IP nie przechodzą dane kart płatniczych, i tak należy je uwzględnić w obszarze skanowania. ● Z sieci firmy na zewnątrz nie powinny być wystawione niebezpieczne usługi sieciowe, takie jak TELNET, FTP, RDP. ● Jeśli firma udostępnia aplikacje internetowe, bardzo ważne jest, aby używać dla nich niezawodnych algorytmów szyfrowania i prawidłowych certyfikatów cyfrowych. Również przydatna jest weryfikacja aplikacji internetowych pod kątem typowych błędów zgodnie ze standardem WASP.Org. 
Skanowanie ASV to prosty proces, ale wiele firm napotyka trudności w jego przejściu. Zrozumiejąc to, oferujemy wszelką pomoc, w tym bezpłatną w usuwaniu wszelkich podatności, aby zapewnić pomyślne przejście tego skanowania zawsze z pozytywnym wynikiem! 
Czy Twojej firmie potrzebne jest skanowanie ASV? 
Skontaktuj się z nami teraz, a zrobimy wszystko, co w naszej mocy, aby przejście tego skanowania było dla Ciebie szybkie i maksymalnie komfortowe!