Если вам необходимо соблюдать PCI DSS, велики шансы, что вам нужно будет регулярно выполнять сканирование на соответствие. Это вызывает некоторые вопросы: что такое сканирование на соответствие PCI; зачем он вам нужен; а кто может это сделать?
Компании, которым необходимо соблюдать PCI DSS, сталкиваются с различными наборами требований, в зависимости от того, какой объем карточного бизнеса они используют. Независимо от того, являются ли они продавцом или поставщиком услуг, также влияет на то, каковы их обязательства по соблюдению. Однако одно требование, которое обычно применяется даже к самым маленьким компаниям, - это необходимость сканирования на соответствие стандарту PCI DSS.
Так что же это за сканирование соответствия? Более точно, это сканирование соответствия называется сканированием уязвимостей. Доверенная третья сторона, известная как утвержденный поставщик сканирования (ASV), попытается связаться со всеми вашими общедоступными компьютерами и будет искать на них известные проблемы. Откуда они знают все ваши общедоступные компьютеры? Вы им говорите, когда настраиваете сервис!
Отчеты о проверке соответствия
После сканирования ваш ASV создаст отчет, в котором будут перечислены все проблемы. Чтобы считаться совместимым, ваш ASV должен просканировать все ваши общедоступные компьютеры и не выявить никаких проблем. Если они обнаружат проблемы, они будут перечислены в отчете о сканировании, и ваше сканирование не будет считаться жалобой.
Когда вы получаете несоответствующее сканирование, вы обязаны исправить обнаруженные проблемы в процессе, называемом исправлением. После того, как вы устранили все обнаруженные проблемы, вы попросите ASV выполнить сканирование еще раз. Этот процесс продолжается до тех пор, пока у вас не будет «чистого» отчета о сканировании без каких-либо проблем.
Частота проверки соответствия
Ваши обязательства по отчетности по стандарту PCI DSS, как правило, будут выполняться ежегодно. Но год - это большой срок для ИТ-безопасности, поэтому сканирование соответствия с вашего ASV необходимо проводить чаще. При прохождении оценки PCI DSS (самостоятельной или иной) вы должны будете показать отчет о чистом сканировании за каждый из предыдущих четырех (4) кварталов.
Если у вас нет всех четырех, то пора подумать, какие компенсирующие меры вы можете описать и задокументировать. Цель компенсирующего контроля - продемонстрировать, как вам удалось выполнить требование PCI DSS, не имея конкретного необходимого контроля.
Вы можете узнать больше о процессе сканирования ASV в нашей специальной статье по этой теме.
Компании, которым необходимо соблюдать PCI DSS, сталкиваются с различными наборами требований, в зависимости от того, какой объем карточного бизнеса они используют. Независимо от того, являются ли они продавцом или поставщиком услуг, также влияет на то, каковы их обязательства по соблюдению. Однако одно требование, которое обычно применяется даже к самым маленьким компаниям, - это необходимость сканирования на соответствие стандарту PCI DSS.
Так что же это за сканирование соответствия? Более точно, это сканирование соответствия называется сканированием уязвимостей. Доверенная третья сторона, известная как утвержденный поставщик сканирования (ASV), попытается связаться со всеми вашими общедоступными компьютерами и будет искать на них известные проблемы. Откуда они знают все ваши общедоступные компьютеры? Вы им говорите, когда настраиваете сервис!
Отчеты о проверке соответствия
После сканирования ваш ASV создаст отчет, в котором будут перечислены все проблемы. Чтобы считаться совместимым, ваш ASV должен просканировать все ваши общедоступные компьютеры и не выявить никаких проблем. Если они обнаружат проблемы, они будут перечислены в отчете о сканировании, и ваше сканирование не будет считаться жалобой.
Когда вы получаете несоответствующее сканирование, вы обязаны исправить обнаруженные проблемы в процессе, называемом исправлением. После того, как вы устранили все обнаруженные проблемы, вы попросите ASV выполнить сканирование еще раз. Этот процесс продолжается до тех пор, пока у вас не будет «чистого» отчета о сканировании без каких-либо проблем.
Частота проверки соответствия
Ваши обязательства по отчетности по стандарту PCI DSS, как правило, будут выполняться ежегодно. Но год - это большой срок для ИТ-безопасности, поэтому сканирование соответствия с вашего ASV необходимо проводить чаще. При прохождении оценки PCI DSS (самостоятельной или иной) вы должны будете показать отчет о чистом сканировании за каждый из предыдущих четырех (4) кварталов.
Если у вас нет всех четырех, то пора подумать, какие компенсирующие меры вы можете описать и задокументировать. Цель компенсирующего контроля - продемонстрировать, как вам удалось выполнить требование PCI DSS, не имея конкретного необходимого контроля.
Вы можете узнать больше о процессе сканирования ASV в нашей специальной статье по этой теме.
