La nostra azienda sta per SAQ, sotto PCI DSS 3.1.
Abbiamo bisogno di pagare un venditore per uscire e fare una scansione sul sito, o possiamo usare qualcosa come Nessus per fare la scansione da soli?
Solo la scansione esterna richiede un ASV:
11.2.2 Perform quarterly external vulnerability scans, via an Approved Scanning Vendor (ASV) approved by the Payment Card Industry Security Standards Council (PCI SSC). Perform rescans as needed, until passing scans are achieved.
È solo su scansioni interne in cui puoi eseguire uno strumento come Nessus ( em mine):
11.2.1 Perform quarterly internal vulnerability scans and rescans as needed, until all “high-risk” vulnerabilities (as identified in Requirement 6.1) are resolved. Scans must be performed by qualified personnel.
verify that the scan was performed by a qualified internal resource(s) or qualified external third party, and if applicable, organizational independence of the tester exists (not required to be a QSA or ASV)
Il test esterno non richiede che nessuno "stia uscendo". Puoi semplicemente utilizzare un servizio automatizzato come Hacker Guardian che soddisferà la scansione eseguita da un ASV.
Per citare PCI DSS 3.1 sezione 11.2:
There are three types of vulnerability scanning required for PCI DSS:
- Internal quarterly vulnerability scanning by qualified personnel (use of a PCI SSC Approved Scanning Vendor (ASV) is not required)
- External quarterly vulnerability scanning, which must be performed by an ASV
- Internal and external scanning as needed after significant changes
Quindi hai bisogno di un ASV per le scansioni esterne , ma puoi farlo da solo per le scansioni interne . Se sei sottoposto a un controllo da parte di un QSA, invece di compilare il questionario SAQ da solo, ti chiedi se prova che la persona che esegue le scansioni è qualificata - non puoi fare in modo che Bob in Accounting lo faccia a meno che non abbia qualcosa sul suo curriculum che indica che sa qualcosa sulla sicurezza.
Dipende dal tipo di scansione che stai guardando. Poiché hai menzionato che la tua azienda sta facendo un SAQ ( link ), suppongo che sarà un controllo interno. Come suggerito da SilverlightFox e gowenfawr, farlo internamente richiede solo un esperto interno per garantire che le cose siano conformi allo standard PCI.
Una società che ho lavorato per alcuni anni fa ha utilizzato HackerGuardian ( link ) per soddisfare i requisiti di scansione esterna invece di assumere una terza parte ASV.
Leggi altre domande sui tag penetration-test pci-dss vulnerability-scanners nessus