19.08.2019
Многим компаниям необходимо пройти процедуру сертификации по стандарту PCI DSS. На эту тему мы предоставили много полезного материала в блоге проекта Get PCI.
 В этой статье мы расскажем то, о чём ранее не говорили. Поэтому этот текст будет очень информативным для всех, кого интересует сертификация по стандарту PCI DSS.
Когда компания начинает процедуру сертификации по стандарту PCI DSS, она неизбежно сталкивается с требованием стандарта о ежеквартальном ASV-сканировании.
В данной статье мы разберем, что это такое – ASV-сканирование, каким компаниям необходимо его проходить и как такое сканирование сделать максимально простым и комфортным.
Первое: Что такое ASV–сканирование?
ASV–сканирование – это специальный вид проверки всех существующих точек ИТ-инфраструктуры, имеющих доступ к сети Интернет, на выявление наличия уязвимостей. Данное сканирование регламентируется требованием PCI DSS №11.2.
ASV–сканирование настолько важно, что платёжные системы Visa и MasterCard требуют проходить это сканирование отдельно от сертификации по стандарту PCI DSS. Для этого сканирования разработан отдельный стандарт ASV program Guide, и проводить его имеют право только специализированные аккредитованные компании. Причём, специалисты такой компании должны ежегодно проходить обучение и сертификацию. Наша компания аккредитована и имеет право проводить ASV–сканирование. Приглашаем представителей всех видов бизнеса получить исчерпывающую информацию на эту тему. 
Важно отметить, что в ASV-сканировании регламентировано буквально все:● Как определить то, что должно быть просканировано;● Процедура самого сканирования;● Определено, какой сканер разрешено использовать;● Чёткая процедура обсуждения и обжалования результатов;● Установленный формат отчёта. 
Второе: Каким компаниям необходимо проходить ASV–сканирование?
ASV–сканирование должны проходить все компании, которым необходимо соответствовать стандарту PCI DSS. При этом вид бизнеса, масштаб, хранение или не хранение данных не имеют никакого значения. Сканирование должно быть проведено – это обязательное условие.
Даже если компания работает всего с одним компьютером, к примеру, это может быть интернет-магазин, ресторан или услуги по бронированию авиабилетов, всё равно необходимо проходить ASV–сканирование.
Исключения существуют! Если компания напрямую не взаимодействует с данными платёжных карт и не имеет ИТ-инфраструктуры, связанной с этим. Хороший пример такого исключения - центр обработки данных, который предоставляет помещения для размещения серверов, но своих серверов не имеет.
Третье: Как провести ASV–сканирование максимально просто?
Предположим, что в компании хорошо налажен процесс управления уязвимостями и своевременного обновления ИТ-систем, в таком варианте ASV–сканирование пройдет быстро и без проблем.
При подготовке к прохождению ASV–сканирования важно обратить внимание на следующее:• Сканирование необходимо проводить для всех IP-адресов, через которые компания подключена к сети Интернет. Даже если через эти IP-адреса не происходит передача данных платёжных карт, их всё равно нужно включать в область сканирования.• Из сети компании наружу не должны быть выставлены небезопасные сетевые службы, такие как: TELNET, FTP, RDP.• Если компания публикует в интернет веб-приложения, очень важно чтобы для них использовались надёжные алгоритмы шифрования и корректные цифровые сертификаты. Не лишней также будет проверка веб-приложений перед запуском на наличие типичных ошибок согласно стандарту WASP.Org. 
ASV–сканирование - простая процедура, но у многих компаний возникают сложности с её прохождением. Понимая это, мы оказываем всевозможную помощь, в том числе и бесплатную в исправлении любых уязвимостей и прохождении данного сканирования всегда с положительным результатом!
Вашей компании необходимо пройти ASV–сканирование?
Звоните нам прямо сейчас, и мы сделаем все возможное, чтобы прохождение этого сканирования было быстрым и максимально комфортным для вас!