ASV-сканер
ASV-сканирование — услуга с задействованием комплекса специальных программных сканеров уязвимостей, которые проводят сканирование точек подключения корпоративной сети к сети Интернет. Сканирование выполняется в рамках стандарта PCI DSS, а сканеры, используемые для соответствия стандарту PCI DSS, обязаны иметь статус компаний PCI ASV.
Применение ASV-сканера — обязательное условие для всех компаний, которые работают с данными банковских карточек своих клиентов (например, онлайн-магазины, финансовые учреждения и т. д.).
В какой последовательности проводится ASV-сканирование
Условно ASV-сканирование можно разделить на 3 главных этапа:
- Компания-клиент готовит ИТ-инфраструктуру для будущего сканирования. Для этого из инфраструктуры выделяется определенная часть, которая работает в рамках PCI DSS стандарта.
- При наступлении назначенной даты компания-поставщик ASV выполняет ASV-сканирование согласно всем правилам. Для этого используются специализированные сканеры.
- После того, как процесс будет завершен, компания-клиент получает либо подписанный ASV-сканером «зеленый» Отчет (уязвимостей не обнаружено) либо подробный Отчет — документ, в котором отражены все найденные уязвимости и прописаны инструкции по их устранению.
Принципы выполнения ASV-сканирования
ASV-сканирование — услуга, которая обычно предоставляется клиенту в формате подписки. Компания-клиент определяет вместе с аудитором сроки проведения сканирования. Обычно ASV-сканирование выполняют раз в квартал. Для самой процедуры нужны все внешние IP-адреса сегмента PCI DSS компании. После согласования всех необходимых данных клиент оплачивает услуги аутсорсинговой компании.
Следующий глобальный этап — непосредственно ASV-сканирование, которое позволяет определить наличие уязвимостей и уровни их опасности вместе с другими параметрами. В случае обнаружения уязвимостей компания-заказчик получит детальный отчет по каждой из них, в который будет входить:
- степень опасности угрозы;
- оценка CVSS;
- код CVE;
- метод решения проблемы.
CVSS — открытый промышленный стандарт, на базе которого выполняется определение степени риска для каждой уязвимости. Оценка CVSS представляет собой параметр, который присвоен конкретной уязвимости в зависимости от степени угрозы, которую она несет.
CVE (Common Vulnerabilities and Exposures) — стандартный, общий перечень уязвимостей и угроз. При обнаружении уязвимостей каждой угрозе присваивается свой код CVE.
Если уязвимостей не обнаружено, выдается другой Отчет, который и необходим для соответствия стандарту PCI DSS. Этот Отчет после ASV-сканирования имеет свой срок действия — 90 дней.