Tenable Vulnerability Management 常見問答集

Tenable Vulnerability Management 是一款風險型弱點管理解決方案，能提供您完整的網路能見度，以預測攻擊與快速回應重大弱點。 採用「永不停頓」的方式持續地搜尋與評估，提供企業所需的能見度，找出企業網路上的所有資產以及這些資產上的隱藏弱點。 內建的優先順序排定、威脅情報和即時報告等功能可協助企業瞭解風險，並主動中斷攻擊路徑。 建構在 Tenable Nessus 先進技術的基礎上並在雲端中管理，讓企業全盤掌握網路上的資產與弱點，以便快速精準地瞭解風險，知道哪些弱點是當務之急，需優先修復。

Tenable Vulnerability Management 是 Tenable One 曝險管理平台中不可或缺的組成元件。 Tenable One 建構在 Tenable.io Vulnerability Management 之上，可為您整個基礎架構 (包括：雲端執行個體、Web 應用程式、Active Directory [AD] 等等) 的安全風險提供可據以行動的深入解析，甚至高度動態的資產也不是問題，例如行動裝置、虛擬機器和容器。 為了進一步提升網路風險管理能力，您還可獲取額外的優先排序數據和功能，例如攻擊破綻視覺化、資產重要性評分、風險型曝險評分及同業效能評定以及追蹤經過一段時間風險降低情形的能力。

如要深入瞭解 Tenable Vulnerability Management，歡迎造訪 Tenable Vulnerability Management 產品頁面、參加即將舉辦的網路研討會或聯絡您的 Tenable 認證合作夥伴或 Tenable 代表人員，獲取更多資訊。

請透過造訪 https://www.tenable.com/try網站登錄，以取得 Tenable Vulnerability Management 免費評估軟體。

您可以透過您當地的 Tenable 認證合作夥伴、聯絡您的 Tenable 代表人員或造訪 zh-tw.tenable.com 網站購買 Tenable Vulnerability Management 應用程式。

可以。您可以分開授權 Tenable 應用程式。 例如，如不需要 Tenable Vulnerability Management 的弱點管理功能，Tenable Web App Scanning 可以單獨授權。

Tenable Vulnerability Management 採年度訂閱的方式授權，依資產而非 IP 位址定價。 這使得客戶能夠擁抱雲端等新科技，無須擔心重複計算的問題。

如需更多有關定價和授權的資訊，請參閱下文中此部分。

資產是指：

• 其作業系統連線至網路的實體或虛擬裝置
• 有完整網域名稱 (FQDN) 的 Web 應用程式
• 處於活動狀態 (非終止狀態) 的雲端資源

例如：桌上型電腦、筆記型電腦、伺服器、儲存設備或網路設備、手機、平板電腦、虛擬機器、雲端執行個體以及容器等等。

Tenable Web App Scanning 採年度訂閱的方式授權，依資產數量定價。 Tenable Web App Scanning 是按照該產品所評估的完整網域名稱 (FQDN) 總數來定價。

如需更多有關定價和授權的資訊，請參閱下文中此部分。

可以。Tenable 以可靠的 Tenable Vulnerability Management 服務等級協議 (SLA) 提供弱點管理產業首創的運轉率保證。 如未達到 SAL，則將提供服務點數作為補償，就像其他領導性的雲端廠商 (如 Amazon Web Services [AWS]) 的做法。

所有的 Tenable 產品，包括 Tenable Vulnerability Management 在內的技術文件，都可以在 https://docs.tenable.com 上找到。

可以。您兩種解決方案都可以使用。 客戶可以選擇同時使用 Tenable Security Center 和 Tenable Vulnerability Management 進行混合型弱點管理部署。 對 Tenable Vulnerability Management PCI/ASV 或其他 Tenable Vulnerability Management 應用程式有興趣的客戶，除了 Tenable Security Center 執行個體外，也可以選擇混合型部署。

可以。針對有興趣的客戶，我們提供各種選項讓您可以透過 Tenable 或通過認證的合作夥伴的完整支援下，順暢地從 Tenable Security Center 移轉至 Tenable Vulnerability Management。 如需更多資訊，請聯絡您的 Tenable 認證合作夥伴或 Tenable 代表人員。

外部攻擊破綻管理 (EASM) 是 Tenable 針對您網路邊界以外的盲點提供能見度的功能。它能讓您掃描您的網域，以找出之前未知的網際網路連線資產，這些資產可能會對貴公司帶來高風險。

是的，Tenable Vulnerability Management 提供外部攻擊破綻管理 (EASM) 功能。 如果您需要更多網域、更高的頻率和/或在結果中提供更多結構資料，您可以購買我們的 Tenable Attack Surface Management 附加元件。

Tenable Web App Scanning 是一種動態應用程式安全測試 (DAST) 應用程式。 DAST 會透過前端深入執行中的 Web 應用程式，建立一個網站地圖，將所有的網頁、連結和表單納入其中以進行測試。一旦 DAST 建立好網站地圖，它就會透過前端來調查網站，確認應用程式自訂程式碼中是否有任何弱點，或是組成該應用程式主體的第三方元件中是否有任何已知弱點

如需更多有關 Tenable Web App Scanning 的資訊，歡迎造訪 Tenable Web App Scanning 產品頁面。 請造訪 tenable.com/try-was 註冊取得免費的試用版，或聯絡您的 Tenable 認證合作夥伴或 Tenable 業務代表取得更多資訊。

排名第Tenable Web App Scanning 是一種動態應用程式安全測試 (DAST) 解決方案，可以在應用程式於測試或生產環境中執行時，「從外部」測試 Web 應用程式。

彈性資產授權方式的主要好處有：

• 客戶可以依據資產數量而非膨脹的 IP 數量購買正確數量的授權。
• 客戶在可以避免從停止使用和/或誤掃描的資產收回授權，從而避免執行耗時且經常不正確的專案。
• 在擁有多個 IP 位址的資產中，弱點管理指標不會因為弱點被計算成兩、三倍而損毀。

彈性資產授權方式的主要好處有：

• 客戶可以依據資產數量而非膨脹的 IP 數量購買正確數量的授權。
• 客戶在可以避免從停止使用和/或誤掃描的資產收回授權，從而避免執行耗時且經常不正確的專案。
• 在擁有多個 IP 位址的資產中，弱點管理指標不會因為弱點被計算成兩、三倍而損毀。

是，客戶可以暫時地超出授權的資產數量。當然，如果授權數量持續超出限制，客戶必須予以調整。

Tenable Vulnerability Management 的使用者介面會同時顯示授權的資產數量和實際的授權使用量。

資產指的是能夠接受分析的實體。例如桌上型電腦、筆記型電腦、伺服器、儲存裝置、網路裝置、手機、平板電腦、VM、虛擬機器、監視器和容器。

當 Tenable Vulnerability Management 首次發現某個資產時，會收集多項識別屬性，其中可能包括 BIOS UUID、系統的 MAC 位址、NetBIOS 名稱、FQDN 和/或其他能夠可靠地用於辨識資產的屬性。 此外，經過驗證的掃描和 Nessus 代理程式，會為裝置指派 Tenable UUID。在 Tenable Vulnerability Management 隨後掃描到資產時，會將它與之前發現過的資產比較。 如果新發現的資產與之前發現的資產不符，該資產就會新增到 Tenable Vulnerability Management 資產庫中。

IP 通常是資產的屬性，許多資產擁有多個指派的 IP (例如 DHCP 裝置、同時擁有有線和無線介面的系統等)。

資產經常擁有多個網路介面卡，讓它們能夠透過多個網路存取。例如，一台網頁伺服器可能同時在生產網路和管理網路上，一台筆記型電腦常常同時擁有有線和無線網路介面。此外，筆記型電腦常會在從一處移動到另一處時取得新的 IP。如果它們以一個 IP 被掃描到，然後又以另一個 IP 被掃描到，就會被計算兩次。

Tenable Vulnerability Management supports unlimited discovery scans using both active and passive sensors. 客戶可以使用這些掃描，詳盡列出所有的資產清單，並判斷適當的授權規模。

Tenable Vulnerability Management 支援以各種方式，避免同樣的資產受到雙重或三重計算，以計算出適當的授權規模。 對於傳統資產，Tenable Vulnerability Management 會使用專利演算法比對新發現的資產和已發現的資產，以去除重複計算，確保更為準確的弱點報告。

Tenable Vulnerability Management 管理的客戶資料，最終都有同一個目的：在客戶管理資產和弱點以確保其環境的安全時，提供卓越優異的體驗。為此，Tenable Vulnerability Management 會管理這三種類型的客戶資料：

1. 資產與弱點資料
2. 環境效能資料
3. 客戶使用量資料

Tenable Vulnerability Management 會詳細列出客戶網路上的資產，並管理資產屬性，其中可能包括 IP 位址、MAC 位址、NetBIOS 名稱、作業系統和版本、使用中連接埠和更多項目。

Tenable Vulnerability Management 會收集詳細的目前和過去弱點及設定資料，其中可能包括嚴重性、可利用性，以及修復狀態和網路活動​。此外，如果客戶使用第三方產品 (例如資產管理系統和修補程式管理系統) 整合功能來強化 Tenable Vulnerability Management 的資料，Tenable Vulnerability Management 也可以管理從那些產品的取得資料。

Tenable 會基於確定產業趨勢、弱點成長與減緩的趨勢以及安全事件趨勢等目的，將客戶資料以匿名形式進行分析。舉例來說，將弱點的存在與其遭到利用的情況進行關聯，會對 Tenable 客戶帶來莫大好處。其他優點包括進階分析以及改善客戶資料與業界及安全事件和趨勢的關聯。收集與分析此類資料也能夠讓客戶針對業界或是整體狀況衡量自身與其他業者的差別。如果客戶不希望 Tenable 收集其個人資料，Tenable 也將提供客戶拒絕的方法。

為維持 Tenable Vulnerability Management 效能及可用性並且提供最佳的使用者經驗，Tenable Vulnerability Management 會收集客戶特定的應用程式狀態與運作狀況資訊。其中包括掃描與平台通訊的頻率、掃描資產的數目以及部署軟體的版本，以及其他一般遙測資訊，以便能夠儘早發現與解決問題。

Tenable 會使用運作狀況與狀態資料以即時偵測與解決潛在問題，進而維持 SLA 承諾。因此，客戶無法選擇退出此資料收集。

為了評估和改善使用者體驗，Tenable 會收集匿名的使用者使用量資料。此資料包含頁面存取、滑鼠按鍵和其他使用者活動，以致能夠在使用者體驗的簡化和改善中聽取使用者意見。

是。客戶可以要求不將他們的容器列為收集程序的一部份。

Tenable 使用 Amazon Web Services (AWS) 的資料中心和服務，為客戶提供和交付 Tenable Vulnerability Management。預設設定中，Tenable 會選擇在最適當的區域建立客戶容器，以確保該客戶盡可能獲得最佳的使用體驗。目前的地點有：

• 美國東部
• 美國西部
• 美國中部
• 倫敦
• 法蘭克福
• 雪梨
• 新加坡
• 加拿大
• 日本
• 巴西
• 印度

另外，如果客戶在部署之前，要求使用特定的 AWS 區域，Tenable 會在該區域中啟用客戶。

所有的客戶資料都可安全地儲存於區域性的 AWS 服務中，因此，該 AWS 維持的歐盟資料保護認證也適用於 Tenable 雲端。更多資訊，請參閱此處。

是。不過，增設額外地點的時間表尚未決定。

有些情況下，資料可能儲存在初始 AWS 區域以外的區域。

• Tenable Vulnerability Management 客戶可以使用某些 AWS 區域中提供的公開、共用掃描集區執行外部掃描。 選擇接近目標的掃描器，掃描速度通常會比較快。請注意客戶在不同於其帳號主機的地點使用雲端掃描器時，掃描資料會暫時存在於其帳號主機以外的地點，但並不會受到儲存。例如，如果客戶的帳號主機位於歐盟德國，並使用位於美國 北維吉尼亞州的掃描器進行掃描，掃描資料在儲存到法蘭克福之前，會暫時透過美國傳送。 如果資料地點會造成問題，客戶應該僅在其區域中使用雲端掃描器進行外部掃描。這項設定可在每次掃描時輕易選擇。
• 如果客戶正在使用 Tenable Security Center，即使他們正在使用 Tenable Vulnerability Management 來掃描他們整個基礎架構的一部分，他們的掃描資料也不會被儲存在雲端。
• 當客戶從 Tenable Vulnerability Management 執行掃描時，Tenable Nessus 代理程式的掃描資料會儲存在 Tenable Vulnerability Management 中。 如果客戶使用 Tenable Nessus Manager 執行代理程式掃描，無論代理程式部署在何處，資料都不會儲存在 Tenable Vulnerability Management 中。

是。資料儲存在建立帳號時選擇的國家。

Tenable 運用多種安全措施，以提供 Tenable Vulnerability Management 資料安全和隱私。

Tenable 遵循某些實務做法，以確保 Tenable Vulnerability Management 應用程式軟體的安全性。

測試是由 Tenable 中三個獨立的小組完成：

• 安全性測試由開發團隊完成；
• Tenable IT 安全團隊會在部署前和部署後，對 Tenable Vulnerability Management執行弱點測試 (部署後測試不會安排確定時間，也不會事先提醒其他團隊)；以及
• Tenable 會在部署之前，提供原始程式碼和變更額外的安全性複查。

所有的軟體部署均為自動化，並且只能透過經由公司 LDAP 憑證驗證的構建系統執行，或是由使用 SSH 私密金鑰驗證的 Ansible 執行。所有的部署均有紀錄和追蹤，而且部署動作 (無論是否在計畫中) 的通知會自動傳送到 Tenable 開發團隊。

對原始程式碼的所有變更，都會受到追蹤，並且連結到安裝該變更的發佈版本。這樣的追蹤可以確保每一項變更、進行變更的人、變更時間，以及最後變更何時部署到生產中，都有完整的歷程紀錄。

每一項部署都會受到 Tenable 團隊的至少兩位成員核准。所有的變更和部署都會廣播告知所有團隊成員。軟體會先部署到測試環境，然後在一段時間後以「滾動方式」部署到生產執行個體。

• 確認對 Tenable Vulnerability Management 的存取均為安全且獲得授權，是我們開發和營運團隊注重的優先目標。 Tenable Vulnerability Management 提供了一些機制，可以維持客戶資料的安全和控制存取。 我們會在五 (5) 次嘗試登入失敗後鎖定帳號，以防範暴力破解攻擊。
• 為了防範資料攔截，與平台的所有通訊都經過 SSL (TLS-1.2) 加密。此外，較古老的不安全 SSL 通訊都會遭到拒絕，以確保最高等級的防護。
• 為了保護對平台的存取，客戶可以透過由 Twillo 提供的服務配置雙因素驗證。
• 客戶可以將 Tenable Vulnerability Management 與其 SAML 部署環境整合在一起。Tenable Vulnerability Management 同時支援 IdP 和 SP 起始的要求。最後，使用者可以使用其電子郵件地址，直接在應用程式之內重設其密碼。
• 客戶通常使用我們文件記錄的 API 或 SDK，建立與 Tenable Vulnerability Management 的客戶連線。 建立特定的 API「金鑰」，可以授予和控管存取。支援將不同的金鑰使用於不同的整合，而無須共用使用者憑證。

Tenable 運用多種安全措施，以提供 Tenable Vulnerability Management 資料安全和隱私。

Tenable Vulnerability Management 平台中所有狀態的 所有資料，都使用不低於 AES-256 的標準，進行至少一層加密。

存放中： 資料使用至少一層 AES-256 加密，儲存在加密的媒體上。

有些資料類別包含雙層的逐檔案加密。

傳輸中： 資料在傳輸過程中使用有 4,096 位元金鑰的 TLS v1.2 加密 (包括內部傳輸)。

Tenable Vulnerability Management 感應器通訊： 感應器至平台的流量始終會由感應器開始，並且僅會在連接埠 443 上輸出。流量透過 SSL 通訊，使用 4096 位元金鑰的 TLS 1.2 加密。這麼一來就無須變更防火牆，讓客戶能夠透過防火牆規則控管連線。

• 掃描器至平台驗證
• 平台會在與容器連接的每個掃描器中產生長度為 256 位元的隨機金鑰，並且在連結過程期間將該金鑰傳遞至掃描器
• 在要求作業、外掛程式更新以及更新為掃描器二進位時，掃描器會使用此金鑰回復驗證控制器
• 掃描器至平台工作通訊
• 掃描器每 30 秒會連絡掃描器一次
• 如果有作業，平台會產生 128 位元的隨機金鑰
• 掃描器會向平台要求原則
• 控制器會使用金鑰將原則加密，而該原則中包括在掃描過程中使用的憑證

在備份 / 複製檔案中： 磁碟快照和資料複製備份會使用不低於 AES-256 的標準，依照與其來源相同的加密等級儲存。 所有複製是透過提供者完成。 Tenable 並不會將任何資料備份至實體異地媒體或是實體系統。

在索引中： 索引資料會使用至少一個層級的 AES-256 加密儲存在加密媒體中。

掃描憑證： 儲存在政策內部，而該政策是在容器 AES-256 全域金鑰內部進行加密。 在啟動掃描時，政策會使用單一用途隨機 128 位元金鑰加密，並且使用帶有 4096 位元金鑰的 TLS v1.2 傳輸。

金鑰管理： 金鑰集中儲存，以基於角色的金鑰加密，同時存取受到限制。 所有儲存的加密資料可以轉換至新的金鑰。每個區域網站的資料檔案加密金鑰各有不同，磁碟層級金鑰也是如此。禁止金鑰共用，同時每年將會審查金鑰管理程序。

客戶無法設定金鑰管理。Tenable 會管理金鑰以及金鑰輪替。

Tenable Network Security 分別遵守美國商務部有關從歐盟與瑞士轉移至美國的個人資訊之收集、使用與保留所列舉的美國商務部 (U.S. Department of Commerce) 關於分別從歐盟和瑞士收集、使用及保存的個人資料轉移至美國的規範、 Tenable Network Security 在遵守隱私屏障原則方面已經通過美國商務部的認證。倘若本隱私權政策與隱私屏障原則中的條款之間出現任何衝突，將以隱私屏障原則的內容為準。如需進一步隱私屏障計劃的資訊以及檢視我們的認證，請造訪 https://www.privacyshield.gov/。

Tenable 已經完成雲端安全聯盟 (CSA) STAR 自我評鑑。 Tenable 對於自我主動評鑑問卷 (CAIQ) 的回覆解答了逾 140 個 Tenable Vulnerability Management 潛在客戶、客戶或合作夥伴可能會需要的安全相關問題。 CSA STAR 是業界對於雲端安全保障最強大的計劃。STAR (Security Trust & Assurance Registry，安全信任與保證註冊項目) 由透明、嚴格稽核以及標準統一的關鍵原則所組成，包括最佳實務的指示以及雲端供應項目的安全狀態驗證。

Tenable Vulnerability Management 平台會盡最大力量避免以需要額外認證或是安全措施的形式收集個人識別資訊 (PII) 資料類型。 其中包括信用卡號碼、社會安全號碼以及其他自訂檢查。如果 Tenable 外掛程式擷取到可能包含敏感或是個人資訊的字元字串，平台會自動將至少 50% 的字元進行混淆，以保護可能敏感的資料。

每位客戶的資料都會標示有一個「容器 ID」，此 ID 與特定的客戶訂閱相符。這個容器 ID 可確保客戶資料的存取限定在僅可存取該名客戶的資料。

• Tenable 會執行每日弱點掃描。
• 防火牆與網路劃分控制存取。自動化工具與流程會監控 Tenable Vulnerability Management 平台的運作時間與效能，並且偵測是否發生異常行為。
• 將全年無休地針對記錄進行監控，Tenable 員工亦將全年無休地回應發生的任何事件。

與平台連接的感應器對於客戶安全、收集弱點以及資產資訊方面扮演極為重要的角色。保護該資料並且確保通訊途徑安全是 Tenable Vulnerability Management 的核心功能。 Tenable Vulnerability Management 目前支援數種感應器：Tenable Nessus 弱點掃描器、被動式掃描器及 Tenable Nessus 代理程式。

在完成密碼驗證並且連結至 Tenable Vulnerability Management 之後，這些感應器會連接至 Tenable Vulnerability Management 平台。一旦連結之後，Tenable Vulnerability Management 將負責管理所有更新 (plugin、程式碼等) 以確保感應器始終維持最新狀態。

感應器至平台的流量始終會由感應器開始，並且僅會在連接埠 443 上輸出。流量透過 SSL 通訊，使用 4096 位元金鑰的 TLS 1.2 加密。這麼一來就無須變更防火牆，讓客戶能夠透過防火牆規則控管連線。

• 掃描器至平台驗證
  • 平台會在與容器連接的每個掃描器中產生長度為 256 位元的隨機金鑰，並且在連結過程期間將該金鑰傳遞至掃描器
  • 在要求作業、外掛程式更新以及更新為掃描器二進位時，掃描器會使用此金鑰回復驗證控制器
• 掃描器至平台工作通訊
  • 掃描器每 30 秒會連絡掃描器一次
  • 如果有作業，平台會產生 128 位元的隨機金鑰
  • 掃描器會向平台要求原則
  • 控制器會使用金鑰將原則加密，而該原則中包括在掃描過程中使用的憑證

Tenable Vulnerability Management 服務竭盡心力提供 99.95% 或是更佳的運作時間，並且針對大部分的服務已經提供 100% 的運作時間。Tenable 所發佈的 SLA 其內容描述我們對於確保平台可提供給所有使用者的承諾，以及倘若發生未規劃的停工事件時，我們提供給客戶的保證。

「運作」狀態係由定期測試所有服務可用性的第三方所舉行的公開可用性測試所認定。(目前以及過去) 服務的運作時間可以在 https://status.tenable.com 查詢。

Tenable Vulnerability Management 大量利用 AWS 平台和其他領先技術來確保我們的客戶體驗最佳服務與整體品質。 下面是為客戶部署優點的部分解決方案清單：

• ElasticSearch 叢集： Elasticsearch clusters 叢集具有高度可用性，可在不影響服務可用性的情況下，復原主要節點、LB 節點以及至少 1 個資料節點的損失。
• Elastic block stores： 用來製作每日快照以及儲存 8 份資料副本。
• Kafka 生態體系： Kafka 與 Zookeeper 皆會複製叢集間的資料以提供任何節點的容錯特有災難性故障。
• Postgres 執行個體： 管理後端微服務框架，保存 30 天的快照。

重複的資料會儲存在相同區域內。

災難指的是導致一個或多個區域的資料或設備無法復原損失的事件。

Tenable Vulnerability Management 災難復原程序有幾種等級，其設計宗旨是針對任何地點 5 年到 50 年之間才會發生一次的情況做出因應。根據災難的規模，復原程序所需時間可能從 60 分鐘到 48 小時不等。

客戶可以控制存取其資料的對象，包括將角色及權限指定給其人員，以及臨時授與 Tenable 支援人員存取權限。

Tenable Vulnerability Management 客戶管理員可以指定使用者角色 (基本、標準、管理員與停用) 以管理對於掃描、政策、掃描器、代理商以及資產清單的存取。

可以。在客戶許可的情況下，Tenable 全球支援人員的第三級成員可以模擬使用者帳號，這使得他們能夠以其他使用者身分在 Tenable Vulnerability Management 執行業務而無需取得該使用者的密碼。 Tenable 支援人員 (或客戶) 可以要求啟用此功能。Tenable 支援人員在有效支援個案中透過附註要求客戶「核准」模擬。包含支援記錄的每項核發必須授與許可。無論任何時間，Tenable 將不會在沒有任何限制的情況下「同意」模擬運作。使用者模擬可能會導致資料離開首要地點。

所有 Tenable Vulnerability Management 營運人員都需要通過第三方背景調查。 此外，所有資深團隊成員皆有在軟體即服務 (SaaS) 架構的安全軟體公司任職至少五年的經驗，同時許多人有都擁有例如 CISSP 的安全認證。

Tenable 有明定的招募與解雇程序。所有員工在入職時都需要簽署保密協議，員工在離職時所有帳戶以及存取金鑰會立即撤銷。

只有 Tenable 第三級支援人員才獲准使用模擬功能。

是。

Tenable 會盡最大努力確保客戶資料受到保護，藉由與客戶合作確定資料保留在所需區域，以確保遵守客戶政策。 然而，還是可能發生其他情況，此時客戶可透過電子郵件向 Tenable 報告，或違反其自身政策而將電子郵件郵寄至所在區域以外。

否。所有流量將由掃描器開始，同時僅會輸出。掃描器會安裝在客戶的防火牆後方，客戶可以透過其防火牆控制掃描器的存取。

資料保留期間在設計上將符合各種客戶與監管需求。

長期衡量進度的能力是 Tenable Vulnerability Management 平台的核心功能。Tenable Vulnerability Management 會自動儲存客戶資料 15 個月，讓他們可以用來報告超過一 (1) 年期間的資料。

如果客戶需要的儲存期間超過 15 個月，Tenable Vulnerability Management 將提供幾種下載客戶資料的方法，客戶可以依照其意願儲存資料。

倘若客戶帳戶到期或是終止，Tenable 將會依照其到期時的狀態保留該資料，惟保留時間不會超過 180 天。在 180 天之後，該資料將被刪除同時無法再取回。

根據 PCI 法規規定，涉及 PCI 合規驗證程序的資料會等到 PCI 證明日期的至少三年後才會刪除。即使客戶選擇刪除其掃描內容或帳戶，或是終止其 Tenable Vulnerability Management 服務，Tenable 仍會保留此期間內的資料。

為確保提供最佳體驗，只要客戶容器維持作用狀態，我們將持續收集該資料。一旦客戶中止服務，保留資料的時間將不會超過 180 天。

一般而言，「共同準則」認證不適用於 SaaS 解決方案，因為更新頻率不適用於需要花費 6-9 個月才能完成的認證程序。

例外情況是如果在部署之前客戶要求特定的地理位置，Tenable 將會在該地點啟用客戶。目前的地點有：

• 美國
• 倫敦
• 法蘭克福
• 雪梨
• 新加坡
• 加拿大
• 日本
• 巴西
• 印度

否。Tenable 目前並未將資料從某個地點複製到其他地點。

PCI ASV 指的是支付卡產業 (PCI) 資料安全標準 (DSS) 規定和安全評估程序的第 11.2.2 條規定，該規定要求每季執行外部弱點掃描，且必須由授權掃描服務商 (ASV) 來執行 (或證明已執行)。ASV 指的是具備一套服務和工具 (「ASV 掃描解決方案」) 的組織，能驗證其他公司是否遵循 PCI DSS 第 11.2.2 條規定的外部掃描規定。

PCI DSS 規定針對隸屬持卡人資料環境中，掃描客戶所擁有或運用之可由外部存取 (網際網路對向) 的所有系統元件，以及任何提供持卡人資料環境路徑的向外系統元件進行弱點掃描。

ASV 掃描的主要階段包含：

• 範圍設定： 由客戶執行，以納入隸屬持卡人資料環境所有面向網際網路的系統元件。
• 掃描： 使用 Tenable Vulnerability Management PCI 季度外部掃描範本
• 報告/修復： 修復過渡時期報告的結果。
• 爭議解決： 客戶與 ASV 共同努力記錄和解決爭議的掃描結果。
• 重新掃描 (視需要)： 直到產生的可解決爭議和例外狀況通過掃描。
• 最後報告： 以安全方式提交與遞送。

ASV 弱點掃描至少必須每季執行一次或在任何重大網路變更後執行，例如安裝新系統元件、變更網路拓撲、修改防火牆規則或升級產品時。

根據 PCI DSS 11.2 所述，合格的授權掃描服務商 (ASV) 專門只執行外部弱點掃描。 合格安全評估商 (QSA) 指的是符合 PCI Security Standards Council (SSC) 資格和訓練可執行一般 PCI DSS 到場評估的評估商公司。

可以。Tenable 是一家合格的授權掃描服務商 (ASV)，可為商家和服務供應商驗證面向網際網路的環境 (用於儲存、處理或傳輸持卡人資料) 的外部弱點掃描。 ASV 資格認證程序包含三個部分：第一個牽涉到 Tenable Network Security 服務商資格認證。第二部分則是負責進行遠端 PCI 掃描服務的 Tenable 員工資格認證。 第三部分包含 Tenable 遠端掃描解決方案 (Tenable Vulnerability Management 和 Tenable PCI ASV) 的安全測試。

ASV 可執行掃描。不過，Tenable 依賴客戶使用 PCI 季度外部掃描範本來自行進行掃描。此範本可防止客戶變更組態設定，例如停用弱點檢查、指派嚴重性等級、更改掃描參數等。 客戶使用 Tenable Vulnerability Management 雲端型掃描器來掃描其面向網際網路的環境，然後提交合規掃描報告給 Tenable 作為證明。 Tenable 會驗證掃描報告，然後客戶再依照支付組織所指示將這些報告提交給其收單機構或支付組織。

弱點資料不屬於 EU DPD 95/46/EC 資料，因此任何資料保留規定都是因應客戶需要，而非監管機構要求。歐盟國家政府組織可擁有各自的資料保留規定，但這些規定必須逐例予以評估，且不會對 PCI-ASV 掃描造成任何問題。

是的，Tenable Vulnerability Management 包含適用於單一且獨特 PCI 資產的 PCI ASV 授權。部分組織大費周章地透過外包支付處理功能限制 PCI 範圍內的資產。由於這些客戶可以說「不在 PCI 產業中」，因此 Tenable 已簡化了他們的採購和授權。 客戶每 90 天可變更其資產一次。

對於擁有超過一個以上獨特 PCI 資產的客戶，Tenable PCI ASV 解決方案會授權為 Tenable Vulnerability Management 訂閱的附加元件。

在實體的持卡人資料環境 (CDE) 內或提供路徑的網際網路對向的主機數量可能會頻繁變更，因此造成授權的複雜性。Tenable 選擇使用更簡單的授權方式。

客戶可提交無限數量的季度證明。

是。評估客戶可以使用 PCI Quarterly External Scan 範本來掃描資產及檢討結果。不過，他們無法提交掃描報告作為證明。