El PCI SSC (Payment Card Industry Security Standards Council) define vulnerabilidad como un defecto o debilidad que, siendo explotada, puede dar lugar a un compromiso, intencional o no intencional, de un sistema.
Por tanto, la búsqueda de sistemas vulnerables o que no han sido actualizados o parcheados es un objetivo para los atacantes. Principalmente, estos objetivos suelen ser sistemas expuestos públicamente a los cuales no es necesario tener un primer acceso a la red de la organización para poder interactuar con ellos, y así poder encontrar alguna forma de atacar las organizaciones en busca de obtener los datos de cuenta de los usuarios finales.
Las organizaciones, para evitar la exposición de estos sistemas a posibles ataques desde el exterior, deben realizar escaneos de vulnerabilidades, tanto internos como externos, para detectar cualquier tipo de deficiencia en los sistemas y en el software que puedan comprometer a las organizaciones que procesan, transmiten y/o almacenan datos de cuenta. De forma diaria son descubiertas nuevas vulnerabilidades, por lo que la realización de escaneos de vulnerabilidades se vuelve una tarea obligatoria para tratar de detectar estas vulnerabilidades lo antes posible y así corregirlas, limitando los riesgos en los entornos PCI DSS al reducir las posibilidades de que un atacante pueda explotar esas vulnerabilidades y comprometer a la organización y a todos sus datos de cuenta.
De acuerdo con la información publicada por el PCI SSC obtenida del estudio realizado por Qualys (https://blog.qualys.com/vulnerabilities-threat-research/2023/12/19/2023-threat-landscape-year-in-review-part-one):
Un escaneo de vulnerabilidades externo es una prueba de seguridad ejecutada desde fuera del perímetro de la red lógica de una organización en todos los sistemas o servidores que se encuentran de cara a Internet o que proveen un camino hacia el entorno de datos de tarjeta (CDE) de una organización.
Los escaneos de vulnerabilidades no deben confundirse con las pruebas de penetración externas (pentests). A diferencia de los escaneos, las pruebas de penetración son actividades activas en lugar de pasivas, ya que buscan explotar las vulnerabilidades en los sistemas o entornos para ganar acceso. Ambas son diferentes y complementarias. Los pentests no sustituyen la necesidad de realizar escaneos de vulnerabilidades.
Por tanto, las organizaciones tienen que asegurarse de que los dispositivos que se encuentran de cara al público a través de Internet son escaneados de forma regular en busca de debilidades y que las vulnerabilidades son parcheadas o remediadas a tiempo para proteger a la entidad de posibles ataques desde el exterior.
La versión 4.0.1 del estándar de PCI DSS recoge diversos requisitos relacionados con la ejecución de estos escaneos externos de vulnerabilidades con el fin de proteger los entornos por los que se procesan, transmiten o almacenan datos de cuenta.
Requisito 11.3.2:
La ejecución de estos escaneos de vulnerabilidades externos en entornos PCI DSS requiere de lo siguiente:
Aunque se tengan que ejecutar cada tres meses, se recomienda una ejecución más frecuente dependiendo de la complejidad de la red, la frecuencia de cambios en el entorno y los tipos de tecnologías o sistemas utilizados en el entorno.
Requisito 11.3.2.1:
Realización de escaneos externos tras cambios significativos en el entorno:
La ejecución de escaneos externos de vulnerabilidades después de la realización de cambios singificativos en el entorno asegura que los cambios hayan sido realizados de forma apropiada, evitando que los sistemas incluyan vulnerabiliades dentro del alcance.
Una organización ASV o Approved Scanning Vendor es una compañía cualificada por el PCI SSC para llevar a cabo los propósitos del programa ASV para la prestación de servicios y herramientas de escaneo externo de vulnerabilidades de acuerdo con el requisito 11.3.2. El propio requisito 11.3.2 requiere evidencia de escaneos externos de vulnerabilidades válidos realizados por la empresa ASV cada 3 meses. El listado de compañías ASV puede verse dentro de la página del PCI SSC:
https://listings.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors
El PCI SSC mantiene una lista con todas las empresas ASV, donde puede encontrarse el nombre de la compañía, el nombre del producto, la información de contacto, las regiones del mundo donde pueden ejecutar los escaneos o número de certificado:
El programa ASV tiene como objetivo realizar escaneos externos de vulnerabilidades en comercios o proveedores de servicios, como parte del cumplimiento de PCI DSS. Proporciona una guía y establece los requisitos necesarios para llevar a cabo dichos escaneos. Alguna de las secciones recogidas por este programa son la metodología para ejecutar los escaneos, los métodos para realizar los reportes o la clasificación de vulnerabilidades. La clasificación de vulnerabilidades determina si el resultado de un escaneo es válido o no. Para ello, las empresas ASV tienen que utilizar 2 herramientas para categorizar y numerar las vulnerabilidades y determinar el cumplimiento de un escaneo:
El método de clasificación a utilizar, siempre y cuando sea posible, tiene que ser el CVSS, actualmente en la versión 3.1:
CVSS Score |
Nivel de criticidad de las vulnerabilidades |
Resultados del escaneo ASV |
Guía |
7.0 a 10.0 |
Criticidad alta | Fallido | Para lograr un escaneo válido, estas vulnerabilidades tienen que ser corregidas y los sistemas afectados re-escaneados después de las correcciones (con un informe que muestre un escaneo ASV válido). |
4.0 a 6.9 |
Criticidad media | Fallido | Organizaciones deberían tomar un enfoque basado en riesgo para corregir este tipo de vulnerabilidades, comenzando con las más críticas, hasta que todas las vulnerabilidades categorizadas entre 4.0 y 10.0 sean corregidas. |
0.0 a 3.9 |
Criticidad baja | Válido | Un resultado válido en un escaneo ASV puede ser logrado con vulnerabilidades categorizadas entre 0.0 y 3.9. Es recomendable que las organizaciones corrijan estas vulnerabilidades, pero no están obligadas. |
Por tanto, para así obtener un escaneo válido y así cumplir con el requisito 11.3.2 del estándar, se debería obtener un escaneo libre vulnerabilidades o con vulnerabilidades clasificadas con un score de 4.0 o superior de acuerdo al sistema CVSS v3.1. Múltiples informes pueden combinarse para mostrar que todos los sistemas han sido escaneados y que todas las vulnerabilidades aplicables han sido resueltas como parte del ciclo de escaneo trimestral.
Con la entrada en vigor de la versión 4.0 del estándar de PCI DSS, la ejecución de escaneos externos de vulnerabilidades se hizo obligatoria para merchants que tienen que demostrar su cumplimiento a través de un SAQ A, o a través de un RoC basado en SAQ A, dependiendo del número de transacciones anuales. Previamente ya era necesario para organizaciones que cumplían con un SAQ A-EP, SAQ B-IP, SAQ C y SAQ D (tanto comercios como proveedores de servicio). Este tema fue tratado en otro artículo del blog “PCI DSS v4 exige a los comercios con SAQ-A a realizar escaneos trimestrales ASV” (https://blog.isecauditors.com/pci-dss-v4-exige-a-comercios-con-saqa-realizar-escaneos-trimestrales).
Como se señala en este artículo, la novedad de este requisito dentro de un SAQ A añade un nuevo nivel de seguridad para los merchants, permitiéndonos abordar las brechas de seguridad más comunes relacionadas con vulnerabilidades. De todas formas, no sería obligatorio para todos los comercios que demuestran cumplimiento con un SAQ A, sino que solamente aplicaría a entornos que proporcionan un servicio de pago a través de una página web que hace una redirección a un proveedor de servicio certificado en PCI DSS o que incluye una página o formulario de pago embebido de un proveedor de servicio certificado en PCI DSS. Ejemplos de este tipo de organizaciones serían merchants que realizan una redirección a la pasarela de pagos certificada en PCI DSS o merchants con una web que genera un formulario de pago de un tercero certificado a través de un iframe (inline frame). Organizaciones MOTO (Mail order/telephone order) o aquellas que tienen todo su servicio completamente externalizado donde no haya ningún mecanismo de los mencionados previamente (por lo que no tendrán ningún sistema en el entorno) marcarán este requisito como “No Aplicable”.
Para organizaciones que han venido demostrando su cumplimiento a través de un SAQ A, o un RoC basado en un SAQ A, dentro de la versión 3.2.1 de PCI DSS, u organizaciones que van a realizar su primera evaluación dentro de la versión 4.0.1, no es necesario presentar evidencia de los últimos 4 escaneos externos, sino que valdría con presentar evidencia del último escaneo externo de vulnerabilidades válido, cumpliendo con todos los apartados del requisito 11.3.2, tal y como señala la FAQ 1485:
Cuando una entidad es evaluada por primera vez en relación con un requisito de PCI DSS que tiene un marco temporal definido, se considera una evaluación inicial de PCI DSS para dicho requisito. Esto significa que la entidad nunca ha sido sometida a una evaluación previa de ese requisito, donde la evaluación haya dado lugar a la presentación de un documento de validación de cumplimiento (por ejemplo, un AOC, SAQ o ROC).
Por tanto, para organizaciones que nunca han sido evaluadas contra el estándar de PCI DSS, o empresas que van a ser evaluadas por primera vez contra la versión 4.0.1, es obligatorio presentar evidencia de un escaneo externo de vulnerabilidades válido tal y como señala el requisito 11.3.2.