Nuestro equipo de expertos puede aportar, en base al amplio conocimiento en Seguridad TIC, la mejor respuesta

 

Escaneos Trimestrales de Vulnerabilidades Externos (ASV)

PCI DSS detalla los requisitos de seguridad para los comerciantes y proveedores de servicios que almacenan, procesan o transmiten datos de titulares de tarjetas. Para demostrar el cumplimiento de la norma PCI DSS, comercios y proveedores de servicios están obligados a llevar cabo Análisis de Vulnerabilidades trimestrales, de conformidad con el Requisito 11.2 de PCI DSS.

 

Según los requerimientos planteados por PCI DSS, los Escaneos Trimestrales de Vulnerabilidades externos han de ser realizados por una empresa homologada como ASV (Approved Scanning Vendor) de forma externa sobre todos los Componentes del Entorno de Cumplimiento accesibles desde Internet.

Internet Security Auditors posee esta homologación (concedida por el PCI SSC) y plantea una solución que ha pasado los requerimientos necesarios para los escaneos de vulnerabilidades que PCI SSC requiere por parte de las empresas afectadas.
Las principales fases del proceso de análisis consisten en:

  • Definición del alcance
  • Escaneo
  • Reporting / Remediación
  • Resolución de Falsos Positivos
  • Re-Escaneo (si es necesario)
  • Informe Final

En el contexto de PCI DSS, los "Componentes del Entorno" que deberán estar incluidos en los escaneos trimestrales incluyen cualquier componente de red, servidor o aplicación que se incluye en o conectado al entorno de datos de titulares de tarjetas. También incluye cualquier componente de virtualización tales como máquinas virtuales, switches virtuales / routers, dispositivos virtuales, aplicaciones virtuales / equipos de escritorio y los hipervisores. Los componentes de red incluyen, pero no están limitados a: firewalls, switches, routers, puntos de acceso inalámbricos, dispositivos de red y otros dispositivos de seguridad. Los tipos de servidores incluyen, pero no se limitan a los siguiente: web, aplicación, base de datos, autenticación, correo, proxy, protocolo de tiempo de red (NTP) y el Sistema de Nombres de Dominio (DNS). Las aplicaciones incluyen y aplicaciones personalizadas o adquiridas a terceros, incluyendo aplicaciones alojadas en sistemas internos y externos.

Por lo tanto la información que deberá facilitar para realizar el escaneo deberá incluir las direcciones IP visibles o accesibles desde Internet, dominios y las URLs de aplicaciones "ocultas" o no accesibles directamente.

volver a la página anterior