La domanda è nel titolo. Non riesco a trovare una risposta diretta e Tenable sembra schivare una risposta sì / no sul loro sito web. Qualche anno fa mi è stato detto che Qualys è stato approvato dal PCI per la conformità PCI e che Nessus all'epoca non lo era. È cambiato?
11.2.1 Perform quarterly internal vulnerability scans. Address vulnerabilities and perform rescans to verify all “high risk” vulnerabilities are resolved in accordance with the entity’s vulnerability ranking (per Requirement 6.1). Scans must be performed by qualified personnel.
Per le scansioni interne è possibile utilizzare Nessus purché le procedure siano documentate e il personale sia "qualificato".
11.2.2 Perform quarterly external vulnerability scans, via an Approved Scanning Vendor (ASV) approved by the Payment Card Industry Security Standards Council (PCI SSC). Perform rescans as needed, until passing scans are achieved.
Per le scansioni esterne, la scansione deve essere eseguita da un fornitore di scansione approvato (ASV). Puoi trovare l'elenco degli ASV al link . In tal caso Nessus non sarebbe utilizzabile dalla propria organizzazione, in quanto un ASV deve essere una terza parte.
Questi strumenti sono semplicemente strumenti di scansione, non strumenti di test di penetrazione, o possono aiutarti con il tuo processo di conformità, ma entrambi richiedono un follow up manuale per verificare falsi positivi e negativi, valutazione dell'impatto, ecc. Quindi non sono sicuro al 100% cosa intendi per "approvato per scansioni PCI".
Tenable offre sicuramente scansione ASV come parte del loro set di prodotti, il che sembra una dichiarazione abbastanza semplice puoi usare Nessus come parte del tuo test PCI.