PCI ASV 外部常見問答集

PCI ASV

什麼是 PCI ASV？: PCI ASV 指的是支付卡產業 (PCI) 資料安全標準 (DSS) 規定和安全評估程序的第 11.2.2 條規定，該規定要求每季執行外部弱點掃描，且必須由授權掃描服務商 (ASV) 來執行 (或證明已執行)。ASV 指的是具備一套服務和工具 (「ASV 掃描解決方案」) 的組織，能驗證其他公司是否遵循 PCI DSS 第 11.2.2 條規定的外部掃描規定。

ASV 掃描的掃描範圍內有哪些系統？: PCI DSS 規定針對隸屬持卡人資料環境中，掃描客戶所擁有或運用之可由外部存取 (網際網路對向) 的所有系統元件，以及任何提供持卡人資料環境路徑的向外系統元件進行弱點掃描。

什麼是 ASV 程序？

ASV 掃描的主要階段包含：

範圍設定：由客戶執行，以納入隸屬持卡人資料環境的所有網際網路對向系統元件。
掃描：使用指定的 Tenable Vulnerability Management PCI 和 WAS 範本。可分別掃描多個持卡人資料環境 (CDE) 分區。
將多次掃描整合併為單一證明
報告/修復：修復中期報告的結果。
爭議解決：客戶與 ASV (Tenable) 共同努力記錄和解決有爭議的掃描結果。
重新掃描 (視需要)：直到產生的可解決爭議和例外狀況通過掃描。
將多次掃描整合併為單一證明
最後報告：以安全方式提交與遞送。

什麼是 ASV 程序？: ASV 弱點掃描至少必須每季執行一次或在任何重大網路變更後執行，例如安裝新系統元件、變更網路拓撲、修改防火牆規則或升級產品。

授權掃描服務商 (ASV) 與合格安全評估商 (QSA) 有何不同？: ASV 僅會針對 PCI DSS 11.2 所述的外部弱點進行掃描。QSA 指的通過 PCI 安全標準委員會 (SSC) 認證與訓練，可執行一般 PCI DSS 現場評估的評估公司。

Tenable 是經認證的 PCI ASV 嗎？: 沒錯，Tenable 是一家合格的授權掃描服務商 (ASV)，可為商家和服務供應商驗證網際網路對向環境 (用於儲存、處理或傳輸持卡人資料) 的外部弱點掃描。ASV 資格認證程序包含三個部分：第一個牽涉到 Tenable Network Security 服務商資格認證。第二部分則是負責進行遠端 PCI 掃描服務的 Tenable 員工資格認證。第三點結合了 Tenable 遠端掃描解決方案 (Tenable Vulnerability Management 和 Tenable PCI ASV)

身為授權掃描服務商 (ASV)，Tenable 是否能實際執行掃描？: ASV 可執行掃描。不過，Tenable 依賴客戶使用 PCI 季度外部掃描範本來自行進行掃描。此範本可防止客戶變更組態設定，例如停用弱點檢查、指派嚴重性等級、更改掃描參數等。客戶會使用 Tenable Vulnerability Management 的雲端型掃描器來掃描其面向網際網路的環境，然後將合規掃描報告提交給 Tenable，作為證明。 Tenable 會驗證掃描報告，然後客戶再依照支付組織所指示將這些報告提交給其收單機構或支付組織。

資料主權

Tenable PCI ASV 是否符合歐盟資料主權規定？: 弱點資料不屬於 EU DPD 95/46/EC 資料，因此任何資料保留規定都是因應客戶需要，而非監管機構要求。歐盟國家政府組織可擁有各自的資料保留規定，但這些規定必須逐例予以評估，且不會對 PCI-ASV 掃描造成任何問題。

Tenable Vulnerability Management ASV 定價/授權/訂購方式

Tenable Vulnerability Management 有包含任何 PCI ASV 授權嗎？: 是的，Tenable Vulnerability Management 包含適用於單一且獨特 PCI 資產的 PCI ASV 授權。部分組織大費周章地透過外包支付處理功能限制 PCI 範圍內的資產。由於這些客戶可以說「不在 PCI 產業中」，因此 Tenable 已簡化了他們的採購和授權。客戶每 90 天可變更其資產一次。

Tenable PCI ASV 的授權方式為何？: 對於擁有超過一個以上獨特 PCI 資產的客戶，Tenable PCI ASV 解決方案會授權為 Tenable Vulnerability Management 訂閱的附加元件。

Tenable PCI ASV 的授權為何不是根據客戶的面向網際網路 PCI 資產數量？: 在實體的持卡人資料環境 (CDE) 內或提供路徑的網際網路對向的主機數量可能會頻繁變更，因此造成授權的複雜性。Tenable 選擇使用更簡單的授權方式。

客戶每季可提交多少個證明？: 客戶可提交無限數量的季度證明。

試用/評估客戶是否有資格可評估 Tenable PCI ASV？: 是。評估客戶可以使用 PCI Quarterly External Scan 範本來掃描資產及檢討結果。不過，他們無法提交掃描報告作為證明。

現有的 Tenable Vulnerability Management 客戶會如何轉換至新功能？: 新功能將於 2017 年 7 月 24 日自動啟用，客戶可以將其用於下一次 PCI ASV 掃描。現有客戶最少一年內將不需要授權新的 PCI ASV 功能。

已授權現有 PCI ASV 功能的 SecurityCenter 客戶如何轉換到新功能？: 已擁有授權之外部/PCI 掃描的 SecurityCenter® 客戶在 Tenable PCI ASV 一推出後即可開始使用。續約時，這些客戶可使用現有的 SKU 進行續約。不過，對他們來說改為授權 Tenable PCI ASV 的好處更多。

Tenable Vulnerability Management