Facebook Google Plus Twitter LinkedIn YouTube RSS 功能表 搜尋 資源 - 部落格資源 - 網路研討會資源 - 報告資源 - 活動icons_066 icons_067icons_068icons_069icons_070

PCI ASV External FAQ

試用 Tenable.io Vulnerability Management

執行第一次掃描花費時間不到 60 秒。

立即試用

PCI ASV

什麼是 PCI ASV?

PCI ASV 指的是支付卡產業 (PCI) 資料安全標準 (DSS) 規定和安全評估程序的第 11.2.2 條規定,該規定要求每季執行外部弱點掃描,且必須由授權掃描服務商 (ASV) 來執行 (或證明已執行)。ASV 指的是具備一套服務和工具 (「ASV 掃描解決方案」) 的組織,能驗證其他公司是否遵循 PCI DSS 第 11.2.2 條規定的外部掃描規定。

ASV 掃描的掃描範圍內有哪些系統?

PCI DSS 規定針對隸屬持卡人資料環境中,掃描客戶所擁有或運用之可由外部存取 (網際網路對向) 的所有系統元件,以及任何提供持卡人資料環境路徑的向外系統元件進行弱點掃描。

什麼是 ASV 程序?

ASV 掃描的主要階段包含:

  • 範圍設定:由客戶執行,以納入隸屬持卡人資料環境的所有網際網路對向系統元件。
  • 掃描:使用 Tenable.io VM PCI 季度外部掃描範本
  • 報告/修復:修復中期報告的結果。
  • 爭議解決:客戶與 ASV 共同努力記錄和解決爭議的掃描結果。
  • 重新掃描 (視需要):直到產生的可解決爭議和例外狀況通過掃描。
  • 最後報告:以安全方式提交與遞送。

需要多久執行 ASV 掃描一次?

ASV 弱點掃描至少必須每季執行一次或在任何重大網路變更後執行,例如安裝新系統元件、變更網路拓撲、修改防火牆規則或升級產品。

授權掃描服務商 (ASV) 與合格安全評估商 (QSA) 有何不同?

ASV 僅會針對 PCI DSS 11.2 所述的外部弱點進行掃描。QSA 指的通過 PCI 安全標準委員會 (SSC) 認證與訓練,可執行一般 PCI DSS 現場評估的評估公司。


Tenable.io PCI ASV Solution Capabilities

Tenable 是經認證的 PCI ASV 嗎?

Yes. Tenable is qualified as an Approved Scanning Vendor (ASV) to validate external vulnerability scans of internet facing environments (used to store, process, or transmit cardholder data) of merchants and service providers. The ASV qualification process consists of three parts: the first involves the qualification of Tenable Network Security as a vendor. The second relates to the qualification of Tenable’s employees responsible for the remote PCI Scanning Services. The third consists of the security testing of Tenable’s remote scanning solution (Tenable.io Vulnerability Management and Tenable.io PCI ASV).

身為授權掃描服務商 (ASV),Tenable 是否能實際執行掃描?

ASV 可執行掃描。不過,Tenable 依賴客戶使用 PCI 季度外部掃描範本來自行進行掃描。此範本可防止客戶變更組態設定,例如停用弱點檢查、指派嚴重性等級、更改掃描參數等。客戶使用 Tenable.io VM 雲端型掃描器來掃描其網際網路對向環境,然後提交合規掃描報告給 Tenable 作為證明。Tenable 會驗證掃描報告,然後客戶再依照支付組織所指示將這些報告提交給其收單機構或支付組織。

新產品和現有產品有何不同之處?

全新或改良的功能包含:

  • 使用者可透過單一 UI 進行掃描/管理/提交/完成 ASV 證明程序。
  • 能讓多人提出爭議並提交以獲得 ASV 認證。
  • 能將相同的爭議/例外狀況套用到多個 IP。(能根據外掛程式,而非依照資產建立爭議)
  • 能將 IP 標示為範圍外
  • 能夠註釋補償管控

資料主權

Tenable.io PCI ASV 是否符合歐盟資料主權規定?

弱點資料不屬於 EU DPD 95/46/EC 資料,因此任何資料保留規定都是因應客戶需要,而非監管機構要求。歐盟國家政府組織可擁有各自的資料保留規定,但這些規定必須逐例予以評估,且不會對 PCI-ASV 掃描造成任何問題。


Tenable.io ASV 定價/授權/訂購

Tenable.io VM 是否包含任何 PCI ASV 授權?

是,Tenable.io VM 針對單一、獨特的 PCI 資產都擁有 PCI ASV 授權。部分組織大費周章地透過外包支付處理功能限制 PCI 範圍內的資產。由於這些客戶可以說「不在 PCI 產業中」,因此 Tenable 已簡化了他們的採購和授權。客戶每 90 天可變更其資產一次。

Tenable.io PCI ASV 的授權方式為何?

對於擁有超過一個以上獨特 PCI 資產的客戶,Tenable.io PCI ASV 解決方案會授權為 Tenable.io 弱點管理訂閱的附加元件。

Tenable.io PCI ASV 的授權為何不是根據客戶的網際網路對向 PCI 資產數量?

在實體的持卡人資料環境 (CDE) 內或提供路徑的網際網路對向的主機數量可能會頻繁變更,因此造成授權的複雜性。Tenable 選擇使用更簡單的授權方式。

客戶每季可提交多少個證明?

客戶可提交無限數量的季度證明。

試用/評估客戶是否有資格可評估 Tenable.io PCI ASV?

Yes. An evaluation customer can use the PCI Quarterly External Scan template to scan assets, review results, and created disputes. However, they cannot submit scan reports for attestation.

現有的 Tenable.io VM 客戶如何轉換到新功能?

新功能將於 2017 年 7 月 24 日自動啟用,客戶可以將其用於下一次 PCI ASV 掃描。現有客戶最少一年內將不需要授權新的 PCI ASV 功能。

已授權現有 PCI ASV 功能的 SecurityCenter 客戶如何轉換到新功能?

已擁有授權之外部/PCI 掃描的 SecurityCenter® 客戶在 Tenable.io PCI ASV 一推出後即可開始使用。續約時,這些客戶可使用現有的 SKU 進行續約。不過,對他們來說改為授權 Tenable.io PCI ASV 的好處更多。

免費試用 立即購買

選擇 Tenable.io

免費試用 60 天

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即註冊並在 60 秒內進行第一次掃描。

立即購買 Tenable.io

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 資產
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描器。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊互動。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描器。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊互動。

購買多年期授權,節省更多

免費試用 立即購買

試用 Tenable.io Web Application Scanning

免費試用 60 天

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊並在 60 秒內進行第一次掃描。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 FQDN
免費試用 聯絡業務人員

試用 Tenable.io Container Security

免費試用 60 天

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器影像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

深入瞭解 Industrial Security