ASV scanner is een hardware-en softwarecomplex dat de verbindingspunten van het interne netwerk van een organisatie met internetbronnen scant.
Het scannen wordt uitgevoerd volgens de vereisten van de PCI DSS-standaard. Organisaties die een dergelijke dienst verlenen, moeten de vereiste status (PCI ASV) hebben.
ASV-scanning is verplicht voor alle organisaties die bankkaarten accepteren voor betaling, bijvoorbeeld offline en online winkels.
ASV-scanning is verplicht voor alle organisaties die bankkaarten accepteren voor betaling, bijvoorbeeld offline en online winkels.
PCI DSS compliance
De fasen van scannen
De scanprocedure is voorwaardelijk verdeeld in verschillende fasen.
- De klant bereidt de bedrijfsinfrastructuur voor op het scannen. Identificeert een deel van de netwerkinfrastructuur dat behoort tot de scope van de PCI DSS-standaard.
- Op de vastgestelde dag voert de auditor een audit uit in overeenstemming met de vereisten van de norm. Maakt gebruik van gespecialiseerde apparatuur die is gecertificeerd voor verificatie.
- Aan het einde van het proces krijgt de klant een passend document over de resultaten van de audit. Het geeft ook aanbevelingen over hoe kwetsbaarheden te repareren.
Het aftastenprincipe
De ASV-scanner wordt geleverd als abonnementsdienst. De klant registreert zich op de website van de dienstverlener en kiest een van de dienstenopties.
In de volgende stap stelt de client een schema in voor het scannen. In de regel wordt de procedure eenmaal per kwartaal uitgevoerd. Geef het IP-adres van de site op (als het wit is) of de domeinnaam. Daarna betaalt de klant voor de service.
De scanner controleert de opgegeven adressen op kwetsbaarheden, de mate van risico en andere parameters die zijn voorgeschreven in de PCI DSS-standaard. Als kwetsbaarheden worden gevonden, krijgt de klant een rapport over elk probleem met een gedetailleerde beschrijving van het risico, de mate van dreiging, CVSS-beoordeling, CVE-code en hoe het probleem kan worden opgelost.
CVSS is een open-source industriestandaard, op basis waarvan het risiconiveau van elke kwetsbaarheid wordt beoordeeld. Een CVSS-score is een waarde die wordt toegekend aan een kwetsbaarheid, afhankelijk van het dreigingsniveau.
CVE (Common Vulnerabilities and Exposures) is een wereldwijde lijst van bedreigingen en kwetsbaarheden. Aan elke record wordt een uniek nummer (CVE-code) toegewezen.
Het rapport is 90 kalenderdagen geldig. Gedurende deze periode is de opdrachtgever verplicht de gevonden fouten te verwijderen en opnieuw te scannen. Als er geen kwetsbaarheden zijn, wordt een certificaat van overeenstemming van het informatiesysteem met de PCI DSS-vereisten afgegeven.