Facebook Google Plus Twitter LinkedIn YouTube RSS MenuSearchResource - BlogResource - Eventicons_066icons_067icons_068icons_069icons_070

PCI ASV External FAQ

Essayer Tenable.io Vulnerability Management

Lancez votre premier scan en moins de 60 secondes.

Découvrir

PCI ASV

Qu'est-ce qu'un ASV PCI ?

PCI ASV fait référence à l'article 11.2.2 de la norme Payment Card Industry sur la sécurité des données (PCI DSS), Procédures d'évaluation de sécurité et exigences, qui impose la réalisation de scans externes trimestriels des vulnérabilités, ou leur certification, par un ASV (Approved Scanning Vendor).Un ASV est un organisme offrant un ensemble de services et d'outils (« ASV Scanning Solution ») permettant de valider le respect de l'exigence portant sur les scans externes de l'article 11.2.2 de la norme PCI DSS.

Quels systèmes sont inclus dans la portée d'un scan réalisé par un ASV ?

La norme PCI DSS impose la réalisation de scans des vulnérabilités au niveau de tous composants système accessibles en externe (connectés à Internet) détenus ou utilisés par le client faisant l'objet du scan, qui font partie de l'environnement de données du titulaire de la carte bancaire, ainsi que de tout composant système en contact avec l'extérieur qui permet d'accéder à l'environnement de données du titulaire de la carte bancaire.

Quel est le processus mis en œuvre par ASV ?

Les principales phases d'un scan réalisé par un ASV comprennent :

  • Établissement de la portée : opération réalisée par le client pour inclure l'ensemble des composants système connectés à Internet faisant partie de l'environnement de données du titulaire de la carte bancaire.
  • Réalisation du scan : à l'aide du modèle de scan externe trimestriel Tenable.io VM PCI
  • Rapport/rémediation : remédiation des résultats des rapports intermédiaires.
  • Résolution des conflits : client et ASV travaillent de pair pour documenter et résoudre les résultats de scan faisant l'objet d'un désaccord.
  • Réalisation d'un autre scan (le cas échéant) : jusqu'à réalisation d'un scan conforme, sans conflit ni exception.
  • Rapport final : envoyé et mis à disposition de manière sécurisée.

Quelle est la fréquence des scans réalisés par un ASV ?

Les scans de vulnérabilités réalisés par un ASV doivent être effectués tous les trimestres et après tout changement significatif affectant le réseau, tel que l'installation de nouveaux composants système, les modifications apportées à la topologie réseau, les changements relatifs aux règles de pare-feu ou les mises à niveau produit.

Quelle est la différence entre un ASV (Approved Scanning Vendor) et un QSA (Qualified Security Assessor) ?

Un ASV ne réalise que des scans externes de vulnérabilités conformes à l'article 11.2 de la norme PCI DSS. Le terme QSA (Qualified Security Assessor) fait référence à une entreprise qui réalise des contrôles, formée et certiifée par le PCI Security Standards Council (SSC) pour réaliser des évaluations PCI DSS globales sur site.


Tenable.io PCI ASV Solution Capabilities

Tenable est-elle certifiée ASV PCI ?

Yes. Tenable is qualified as an Approved Scanning Vendor (ASV) to validate external vulnerability scans of internet facing environments (used to store, process, or transmit cardholder data) of merchants and service providers. The ASV qualification process consists of three parts: the first involves the qualification of Tenable Network Security as a vendor. The second relates to the qualification of Tenable’s employees responsible for the remote PCI Scanning Services. The third consists of the security testing of Tenable’s remote scanning solution (Tenable.io Vulnerability Management and Tenable.io PCI ASV).

En tant qu'ASV (Approved Scanning Vendor), Tenable réalise-t-elle des scans ?

Les ASV peuvent réaliser des scans.Toutefois, Tenable Confie à ses clients la responsabilité de réaliser leurs propres scans à l'aide du modèle de scan externe trimestriel PCI.Ce modèle rend la modification des paramètres de configuration, telle que la désactivation des vérifications des vulnérabilités, l'attribution des niveaux de sévérité, l'altération des paramètres de scan, etc. impossible côté client.Les clients utilisent les outils de scan cloud Tenable.io VM pour analyser leurs environnements connectés à Internet, puis transmettre leurs rapports de scans conformes à Tenable pour certification.Tenable certifie les rapports de scans. Le client les fait ensuite parvenir à ses acquéreurs ou fournisseurs de services de paiement, comme spécifié par ces derniers.

Quelles sont les différences entre le nouveau produit et le produit existant ?

Les fonctions nouvelles ou améliorées incluent :

  • Une interface unique permettant aux utilisateurs de scanner, gérer, envoyer et réaliser le processus de certification ASV.
  • Possibilité pour plusieurs personnes de signaler des conflits et d'envoyer des rapports pour la certification ASV.
  • Possibilité d'appliquer les mêmes conflits/exceptions à plusieurs adresses IP.(Possibilité de créer des conflits en fonction de plugins plutôt que d'assets)
  • Possibilité de marquer une adresse IP comme étant hors portée
  • Possibilité d'annoter les contrôles compensatoires

Souveraineté des données

La solution Tenable.io PCI ASV est-elle conforme aux exigences relatives à la souveraineté des données de l'UE ?

Les données relatives aux vulnérabilités ne sont pas couvertes par la directive UE DPD 95/46/EC, les exigences concernant le lieu de stockage de ces données doivent ainsi être établies par le client, sans être définies par la réglementation.Il se peut que les organisations gouvernementales des États membres de l'UE aient leurs propres exigences relatives au lieu de stockage de leurs données. Ces dernières doivent toutefois être évaluées au cas par cas, sans être nécessairement problématiques pour les scans réalisés par un ASV PCI.


Tarification/Licence/Commande Tenable.io ASV

La solution Tenable.io VM inclut-elle des licences PCI ASV ?

Oui, Tenable.io VM inclut une licence PCI ASV pour un seul et unique asset PCI.Certains organismes ont de grandes difficultés à limiter le nombre d'assets inclus dans la portée de la norme PCI, car elles externalisent fréquemment leurs fonctions de traitement des paiements.Ses clients ne faisant de toute évidence pas partie de l'écosystème PCI, Tenable a simplifié les procédures d'achat et d'octroi de licences les concernant.Un client peut modifier son asset tous les 90 jours.

Sous quelle forme les licences Tenable.io PCI ASV sont-elles proposées ?

Pour les clients disposant de plus d'un seul et unique asset PCI, les licences de la solution Tenable.io PCI ASV sont disponibles sous la forme d'un module complémentaire pouvant être ajouté aux abonnements Tenable.io Vulnerability Management.

Pourquoi les licences de la solution Tenable.io PCI ASV Ne sont-elles pas octroyées en fonction du nombre d'assets PCI connectés à Internet d'un client ?

Le nombre d'hôtes connectés à Internet permettant d'accéder à l'environnement de données des titulaires de carte bancaire d'une entité, ou situés en son sein, peut évoluer souvent, ce qui complique la création de licences.Tenable a choisi d'utiliser une approche plus simple en terme d'octroi de licences.

Combien d'attestations un client peut-il envoyer par trimestre ?

Les clients peuvent envoyer un nombre illimité d'attestations trimestrielles.

Les clients utilisant une version d'essai/évaluation sont-ils éligibles à l'évaluation Tenable.io PCI ASV ?

Yes. An evaluation customer can use the PCI Quarterly External Scan template to scan assets, review results, and created disputes. However, they cannot submit scan reports for attestation.

Comment les clients Tenable.io VM existants passeront-ils à la nouvelle solution ?

La nouvelle solution sera activée automatiquement le 24 juillet 2017. Les clients de Tenable seront ainsi en mesure de l'utiliser pour leur prochain scan PCI ASV.Les clients existants n'auront pas besoin d'acquérir une licence pour cette nouvelle option PCI ASV pendant un délai minimum d'un an.

De quelle manière les clients SecurityCenter disposant actuellement de licences PCI ASV passeront-ils à la nouvelle solution ?

Les clients SecurityCenter® qui disposent déjà d'une licence Scan PCI/externe commenceront à utiliser Tenable.io PCI ASV dès son lancement.Il suffira à ces clients de renouveler leur abonnement à l'aide de leurs références actuelles.Il peut cependant être pertinent d'acquérir plutôt une licence Tenable.io PCI ASV.

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Vulnerability Management

GRATUIT PENDANT 60 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne, hébergée dans le cloud, qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Inscrivez-vous maintenant et lancez votre premier scan en 60 secondes.

Acheter Tenable.io Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets
Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui l'outil de scan de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan de vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe informatique.

Acheter Nessus Professional

Nessus® est aujourd'hui l'outil de scan de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan de vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe informatique.

Achetez dès maintenant une licence pluriannuelle et faites des économies