FAQ ASV PCI externe
Essayez Tenable Vulnerability Management
Lancez votre premier scan en moins de 60 secondes.
PCI ASV
Qu'est-ce qu'un ASV PCI ?
PCI ASV fait référence à l'article 11.2.2 de la norme Payment Card Industry sur la sécurité des données (PCI DSS), Procédures d'évaluation de sécurité et exigences, qui impose la réalisation de scans externes trimestriels des vulnérabilités, ou leur certification, par un ASV (Approved Scanning Vendor). Un ASV est un organisme offrant un ensemble de services et d'outils (« ASV Scanning Solution ») permettant de valider le respect de l'exigence portant sur les scans externes de l'article 11.2.2 de la norme PCI DSS.
Quels systèmes sont inclus dans la portée d'un scan réalisé par un ASV ?
La norme PCI DSS impose la réalisation de scans des vulnérabilités sur tous les composants système accessibles en externe (connectés à Internet) détenus ou utilisés par le client, qui font partie de l'environnement de données des titulaires de carte bancaire, ainsi que sur tous les composants système en contact avec l'extérieur qui permettent d'accéder à l'environnement de données des titulaires de carte bancaire.
Quel est le processus mis en œuvre par un ASV ?
Les principales phases d'un scan réalisé par un ASV sont les suivantes :
- Établissement de la portée : opération réalisée par le client pour inclure l'ensemble des composants système connectés à Internet faisant partie de l'environnement de données des titulaires de carte bancaire.
- Scan : utilisation des modèles PCI et WAS Tenable Vulnerability Management. Plusieurs sections de l'environnement de données des titulaires de carte bancaire (CDE) peuvent être scannées individuellement.
- Fusion de plusieurs scans en une seule attestation
- Rapport/rémediation : remédiation des résultats des rapports intermédiaires.
- Résolution des réclamations : le client et l'ASV (Tenable) travaillent de pair pour documenter et résoudre les résultats de scan faisant l'objet d'un désaccord.
- Réalisation d'un autre scan (le cas échéant) : jusqu'à réalisation d'un scan conforme, sans conflit ni exception.
- Fusion de plusieurs scans en une seule attestation
- Rapport final : envoyé et mis à disposition de manière sécurisée.
Quelle est la fréquence des scans réalisés par un ASV ?
Les scans de vulnérabilités réalisés par un ASV doivent être effectués tous les trimestres et après tout changement significatif affectant le réseau, tel que l'installation de nouveaux composants système, les modifications apportées à la topologie réseau, les changements relatifs aux règles de pare-feu ou les mises à niveau produit.
Quelle est la différence entre un ASV (Approved Scanning Vendor) et un QSA (Qualified Security Assessor) ?
Un ASV ne réalise que des scans externes de vulnérabilités conformes à l'article 11.2 de la norme PCI DSS. Le terme QSA (Qualified Security Assessor) fait référence à une entreprise qui réalise des contrôles, formée et certifiée par le PCI Security Standards Council (SSC) pour réaliser des évaluations PCI DSS globales sur site.
Tenable est-elle certifiée PCI ASV ?
Oui, Tenable est certifiée en tant qu'ASV (Approved Scanning Vendor, prestataire de services de scan agréé) pour valider les scans externes de vulnérabilités des environnements connectés à Internet (utilisés pour stocker, traiter ou transmettre les données relatives aux titulaires de carte bancaire) des commerçants et des prestataires de services. Le processus de certification d'un ASV comprend trois phases, la première impliquant la certification de Tenable en tant que société éditrice de solutions. La deuxième phase porte sur la certification des collaborateurs de Tenable chargés des services de scan PCI à distance. La troisième phase consiste à tester la sécurité de la solution de scan à distance de Tenable (Tenable Vulnerability Management et Tenable PCI ASV).
En tant qu'ASV (Approved Scanning Vendor), Tenable réalise-t-elle des scans ?
Souveraineté des données
Tenable PCI ASV est-il conforme aux réglementations en vigueur vis-à-vis de la souveraineté des données européennes ?
Les données relatives aux vulnérabilités ne sont pas couvertes par la directive UE DPD 95/46/EC, les exigences concernant le lieu de stockage de ces données doivent ainsi être établies par le client, sans être définies par la réglementation. Il se peut que les organisations gouvernementales des États membres de l'UE aient leurs propres exigences relatives au lieu de stockage de leurs données. Ces dernières doivent toutefois être évaluées au cas par cas, sans être nécessairement problématiques pour les scans réalisés par un ASV PCI.
Tenable Vulnerability Management ASV - Tarifs/Licences/Commande
Tenable Vulnerability Management inclut-il des licences PCI ASV ?
Tenable Vulnerability Management inclut une licence PCI ASV lpour un seul et unique asset PCI. Certaines entreprises déploient des efforts remarquables pour restreindre au maximum les assets concernés par la norme PCI, souvent en externalisant leurs fonctions de traitement des paiements. Ces clients ne faisant de toute évidence pas partie de l'écosystème PCI, Tenable a simplifié les procédures d'achat et d'octroi de licences les concernant. Un client peut modifier son asset tous les 90 jours.
Comment Tenable PCI ASV est-il géré sous licence ?
Pour les clients disposant de plus d'un asset PCI unique, la solution Tenable PCI ASV est gérée sous licence en tant que module complémentaire aux abonnements Tenable Vulnerability Management.
Pourquoi Tenable PCI ASV n'est-il pas géré sous licence en fonction du nombre d'assets exposés à Internet que possède un client ?
Le nombre d'hôtes connectés à Internet permettant d'accéder à l'environnement de données des titulaires de carte bancaire d'une entité, ou situés en son sein, peut évoluer souvent, ce qui complique la création de licences. Tenable a choisi d'utiliser une approche plus simple en terme d'octroi de licences.
Combien d'attestations un client peut-il envoyer par trimestre ?
Les clients peuvent envoyer un nombre illimité d'attestations trimestrielles.
Les clients utilisant une version d'essai/évaluation sont-ils éligibles à l'évaluation de Tenable PCI ASV ?
Oui, ces clients peuvent utiliser le modèle de scans PCI externes trimestriels pour scanner les assets et passer les résultats en revue. Toutefois, ils ne peuvent pas envoyer les rapports de scan comme justificatif.
Comment les clients Tenable Vulnerability Management existants vont-ils transitionner vers la nouvelle capacité ?
La nouvelle solution sera activée automatiquement le 24 juillet 2017. Les clients de Tenable seront ainsi en mesure de l'utiliser pour leur prochain scan PCI ASV. Les clients existants n'auront pas besoin d'acquérir une licence pour cette nouvelle option PCI ASV pendant un délai minimum d'un an.
De quelle manière les clients SecurityCenter disposant actuellement de licences PCI ASV passeront-ils à la nouvelle solution ?
Les clients SecurityCenter® qui ont déjà un service de scan PCI/externe commencera à utiliser Tenable PCI ASV une fois . Au moment du renouvellement, ces clients peuvent tout simplement indiquer leurs références SKU actuelles. Cependant, il peut être aussi avantageux d'obtenir une licence de Tenable PCI ASV à la place.