Uno de los puntos requeridos en la Norma
PCI DSS se basa en que la empresa que realiza los escaneos externos (requerimiento 11.2.2) esté incluida en las listas de
ASV (
Approved Scanning Vendors). Estas listas están publicadas en la página del
PCI SSC indicando el lugar en el que operan, teléfono de contacto y si disponen de empleados
ASV cualificados (certificados adicionalmente como ASV):
Este último punto es muy importante. Cuando una empresa aparece como proveedor
ASV autorizado se requiere que la propia empresa sea
ASV y un número mínimo de empleados certificados como tal:
Esto quiere decir que generalmente para presentar un informe de escaneos
ASV se requiere que sea alguien autorizado/cualificado para ello y además sea quien interprete los resultados, ya que el
PCI SSC establece un plan específico para corroborar que está capacitado para tal fin.
Otro aspecto a tener en cuenta es que hay que distinguir entre empresa
ASV, solución/herramienta
ASV y servicio de escaneo
ASV:
Según el programa
ASV definido por el
PCI SSC, únicamente empleados certificados como
ASV están autorizados a configurar la herramienta de escaneo y modificar los resultados de los escaneos tras realizar una interpretación de los mismos:
Adicionalmente, en el informe de resultados
ROC generado por una
QSA, se requiere verificar que el proveedor empleado para realizar escaneos
ASV esté incluido en las listas del
PCI SSC y además se debe incluir su código de empresa certificada:
La conclusión en relación con los escaneos
ASV es que no sólo es necesario utilizar una herramienta de escaneos de vulnerabilidades que permita cumplir con los requisitos
ASV, si no que la propia empresa que configura tal herramienta e interpreta los resultados debe estar certificada como
ASV y estar incluida en las listas del
PCI SSC.
Fuentes:
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php
https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v2.pdf
https://www.pcisecuritystandards.org/documents/asv_qualification_requirements_v2.1.pdf
Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.