Este último punto es muy importante. Cuando una empresa aparece como proveedor ASV autorizado se requiere que la propia empresa sea ASV y un número mínimo de empleados certificados como tal:
Esto quiere decir que generalmente para presentar un informe de escaneos ASV se requiere que sea alguien autorizado/cualificado para ello y además sea quien interprete los resultados, ya que el PCI SSC establece un plan específico para corroborar que está capacitado para tal fin.
Otro aspecto a tener en cuenta es que hay que distinguir entre empresa ASV, solución/herramienta ASV y servicio de escaneo ASV:
Según el programa ASV definido por el PCI SSC, únicamente empleados certificados como ASV están autorizados a configurar la herramienta de escaneo y modificar los resultados de los escaneos tras realizar una interpretación de los mismos:
Adicionalmente, en el informe de resultados ROC generado por una QSA, se requiere verificar que el proveedor empleado para realizar escaneos ASV esté incluido en las listas del PCI SSC y además se debe incluir su código de empresa certificada:
La conclusión en relación con los escaneos ASV es que no sólo es necesario utilizar una herramienta de escaneos de vulnerabilidades que permita cumplir con los requisitos ASV, si no que la propia empresa que configura tal herramienta e interpreta los resultados debe estar certificada como ASV y estar incluida en las listas del PCI SSC.
Fuentes:
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php
https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v2.pdf
https://www.pcisecuritystandards.org/documents/asv_qualification_requirements_v2.1.pdf
Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.
