ASV scan: cosa aspettarsi dai servizi di scansione esterni?

3

Ci è stato chiesto di eseguire una scansione delle vulnerabilità nei nostri server che elaborano le transazioni con le carte di pagamento come requisito per la conformità PCI. PCI DSS richiede che questa scansione sia eseguita da un ASV.

Cosa devo aspettarmi dal risultato di questa scansione?

Che tipo di scansione corrisponde a questa scansione? E 'come un port scan come nmap scan? È come una scansione dei servizi di rete come Nessus Scan? Ti piace una scansione delle vulnerabilità delle applicazioni? È un pentito?

ASV limita il suo servizio solo a fornire uno strumento di sicurezza basato su cloud per identificare le vulnerabilità sui tuoi server o ASV ci aiuta a risolverli?

    
posta isdhvksdn 17.03.2016 - 22:26
fonte

1 risposta

3

Queste sono scansioni di vulnerabilità che sono più dettagliate e hanno più informazioni di sicurezza di base di una semplice scansione delle porte. Anche questi non sono così dettagliati e non scavano così in profondità come un test di penetrazione completo.

La società di test ASV può eseguire il test in diversi modi e disporre di un portale per richiedere una scansione non è affatto un requisito.

Potrebbe essere considerato un conflitto di interessi che il tuo ASV risolva i tuoi problemi, quindi questo non è normalmente gestito dalla stessa azienda. Il PCI DSS 3.1 menziona l'indipendenza organizzativa nella sezione 11.3.1.b del PCI DSS link

È possibile ottenere ulteriori informazioni sugli ASV dalla Guida al programma ASV PCI. link

    
risposta data 17.03.2016 - 22:35
fonte

Leggi altre domande sui tag