FAQ ASV PCI externe

PCI ASV fait référence à l'article 11.2.2 de la norme Payment Card Industry sur la sécurité des données (PCI DSS), Procédures d'évaluation de sécurité et exigences, qui impose la réalisation de scans externes trimestriels des vulnérabilités, ou leur certification, par un ASV (Approved Scanning Vendor). Un ASV est un organisme offrant un ensemble de services et d'outils (« ASV Scanning Solution ») permettant de valider le respect de l'exigence portant sur les scans externes de l'article 11.2.2 de la norme PCI DSS.

La norme PCI DSS impose la réalisation de scans des vulnérabilités sur tous les composants système accessibles en externe (connectés à Internet) détenus ou utilisés par le client, qui font partie de l'environnement de données des titulaires de carte bancaire, ainsi que sur tous les composants système en contact avec l'extérieur qui permettent d'accéder à l'environnement de données des titulaires de carte bancaire.

Les principales phases d'un scan réalisé par un ASV sont les suivantes :

• Établissement de la portée : opération réalisée par le client pour inclure l'ensemble des composants système connectés à Internet faisant partie de l'environnement de données des titulaires de carte bancaire.
• Scan : utilisation des modèles PCI et WAS Tenable Vulnerability Management. Plusieurs sections de l'environnement de données des titulaires de carte bancaire (CDE) peuvent être scannées individuellement.
• Fusion de plusieurs scans en une seule attestation
• Rapport/rémediation : remédiation des résultats des rapports intermédiaires.
• Résolution des réclamations : le client et l'ASV (Tenable) travaillent de pair pour documenter et résoudre les résultats de scan faisant l'objet d'un désaccord.
• Réalisation d'un autre scan (le cas échéant) : jusqu'à réalisation d'un scan conforme, sans conflit ni exception.
• Fusion de plusieurs scans en une seule attestation
• Rapport final : envoyé et mis à disposition de manière sécurisée.

Les scans de vulnérabilités réalisés par un ASV doivent être effectués tous les trimestres et après tout changement significatif affectant le réseau, tel que l'installation de nouveaux composants système, les modifications apportées à la topologie réseau, les changements relatifs aux règles de pare-feu ou les mises à niveau produit.

Un ASV ne réalise que des scans externes de vulnérabilités conformes à l'article 11.2 de la norme PCI DSS. Le terme QSA (Qualified Security Assessor) fait référence à une entreprise qui réalise des contrôles, formée et certifiée par le PCI Security Standards Council (SSC) pour réaliser des évaluations PCI DSS globales sur site.

Oui, Tenable est certifiée en tant qu'ASV (Approved Scanning Vendor, prestataire de services de scan agréé) pour valider les scans externes de vulnérabilités des environnements connectés à Internet (utilisés pour stocker, traiter ou transmettre les données relatives aux titulaires de carte bancaire) des commerçants et des prestataires de services. Le processus de certification d'un ASV comprend trois phases, la première impliquant la certification de Tenable en tant que société éditrice de solutions. La deuxième phase porte sur la certification des collaborateurs de Tenable chargés des services de scan PCI à distance. La troisième phase consiste à tester la sécurité de la solution de scan à distance de Tenable (Tenable Vulnerability Management et Tenable PCI ASV).

Les fournisseurs ASV peuvent réaliser les scans eux-mêmes. Toutefois, Tenable confie à ses clients la responsabilité de réaliser leurs propres scans à l'aide du modèle de scan PCI externe trimestriel. Ce modèle empêche les clients de modifier les paramètres de configuration, par exemple de désactiver les contrôles de vulnérabilités, d'attribuer des niveaux de sévérité différents, d'altérer les paramètres de scan, etc. Les clients ont recours aux scanners basés sur le cloud de Tenable Vulnerability Management pour scanner leurs environnements exposés à Internet et pour ensuite soumettre des rapports conformes à Tenable pour attestation. Tenable certifie les rapports de scan. Le client les fait ensuite parvenir à ses acquéreurs ou fournisseurs de services de paiement, comme spécifié par ces derniers.

Les données relatives aux vulnérabilités ne sont pas couvertes par la directive UE DPD 95/46/EC, les exigences concernant le lieu de stockage de ces données doivent ainsi être établies par le client, sans être définies par la réglementation. Il se peut que les organisations gouvernementales des États membres de l'UE aient leurs propres exigences relatives au lieu de stockage de leurs données. Ces dernières doivent toutefois être évaluées au cas par cas, sans être nécessairement problématiques pour les scans réalisés par un ASV PCI.

Tenable Vulnerability Management inclut une licence PCI ASV lpour un seul et unique asset PCI. Certaines entreprises déploient des efforts remarquables pour restreindre au maximum les assets concernés par la norme PCI, souvent en externalisant leurs fonctions de traitement des paiements. Ces clients ne faisant de toute évidence pas partie de l'écosystème PCI, Tenable a simplifié les procédures d'achat et d'octroi de licences les concernant. Un client peut modifier son asset tous les 90 jours.

Pour les clients disposant de plus d'un asset PCI unique, la solution Tenable PCI ASV est gérée sous licence en tant que module complémentaire aux abonnements Tenable Vulnerability Management.

Le nombre d'hôtes connectés à Internet permettant d'accéder à l'environnement de données des titulaires de carte bancaire d'une entité, ou situés en son sein, peut évoluer souvent, ce qui complique la création de licences. Tenable a choisi d'utiliser une approche plus simple en terme d'octroi de licences.

Les clients peuvent envoyer un nombre illimité d'attestations trimestrielles.

Oui, ces clients peuvent utiliser le modèle de scans PCI externes trimestriels pour scanner les assets et passer les résultats en revue. Toutefois, ils ne peuvent pas envoyer les rapports de scan comme justificatif.

La nouvelle solution sera activée automatiquement le 24 juillet 2017. Les clients de Tenable seront ainsi en mesure de l'utiliser pour leur prochain scan PCI ASV. Les clients existants n'auront pas besoin d'acquérir une licence pour cette nouvelle option PCI ASV pendant un délai minimum d'un an.

Les clients SecurityCenter® qui ont déjà un service de scan PCI/externe commencera à utiliser Tenable PCI ASV une fois . Au moment du renouvellement, ces clients peuvent tout simplement indiquer leurs références SKU actuelles. Cependant, il peut être aussi avantageux d'obtenir une licence de Tenable PCI ASV à la place.