Uno de los puntos requeridos en la Norma
PCI DSS se basa en que la empresa que realiza los escaneos externos (requerimiento 11.2.2) esté incluida en las listas de
ASV (
Approved Scanning Vendors). Estas listas están publicadas en la página del
PCI SSC indicando el lugar en el que operan, teléfono de contacto y si disponen de empleados
ASV cualificados (certificados adicionalmente como ASV):
Este último punto es muy importante. Cuando una empresa aparece como proveedor ASV autorizado se requiere que la propia empresa sea ASV y un número mínimo de empleados certificados como tal:
Esto quiere decir que generalmente para presentar un informe de escaneos ASV se requiere que sea alguien autorizado/cualificado para ello y además sea quien interprete los resultados, ya que el PCI SSC establece un plan específico para corroborar que está capacitado para tal fin.
Otro aspecto a tener en cuenta es que hay que distinguir entre empresa ASV, solución/herramienta ASV y servicio de escaneo ASV:
Según el programa ASV definido por el PCI SSC, únicamente empleados certificados como ASV están autorizados a configurar la herramienta de escaneo y modificar los resultados de los escaneos tras realizar una interpretación de los mismos:
Adicionalmente, en el informe de resultados ROC generado por una QSA, se requiere verificar que el proveedor empleado para realizar escaneos ASV esté incluido en las listas del PCI SSC y además se debe incluir su código de empresa certificada:
La conclusión en relación con los escaneos ASV es que no sólo es necesario utilizar una herramienta de escaneos de vulnerabilidades que permita cumplir con los requisitos ASV, si no que la propia empresa que configura tal herramienta e interpreta los resultados debe estar certificada como ASV y estar incluida en las listas del PCI SSC.
Fuentes:
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php
https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v2.pdf
https://www.pcisecuritystandards.org/documents/asv_qualification_requirements_v2.1.pdf
Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.
Este último punto es muy importante. Cuando una empresa aparece como proveedor ASV autorizado se requiere que la propia empresa sea ASV y un número mínimo de empleados certificados como tal:
Esto quiere decir que generalmente para presentar un informe de escaneos ASV se requiere que sea alguien autorizado/cualificado para ello y además sea quien interprete los resultados, ya que el PCI SSC establece un plan específico para corroborar que está capacitado para tal fin.
Otro aspecto a tener en cuenta es que hay que distinguir entre empresa ASV, solución/herramienta ASV y servicio de escaneo ASV:
Según el programa ASV definido por el PCI SSC, únicamente empleados certificados como ASV están autorizados a configurar la herramienta de escaneo y modificar los resultados de los escaneos tras realizar una interpretación de los mismos:
Adicionalmente, en el informe de resultados ROC generado por una QSA, se requiere verificar que el proveedor empleado para realizar escaneos ASV esté incluido en las listas del PCI SSC y además se debe incluir su código de empresa certificada:
La conclusión en relación con los escaneos ASV es que no sólo es necesario utilizar una herramienta de escaneos de vulnerabilidades que permita cumplir con los requisitos ASV, si no que la propia empresa que configura tal herramienta e interpreta los resultados debe estar certificada como ASV y estar incluida en las listas del PCI SSC.
Fuentes:
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php
https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v2.pdf
https://www.pcisecuritystandards.org/documents/asv_qualification_requirements_v2.1.pdf
Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.
