Зачем проводят ASV-сканирование
Только в США за 2019 год зарегистрировали 650 тыс. случаев кражи личных данных, большая часть из которых — данные кредитных карт. Когда злоумышленники получают доступ к номеру карты и CVV2/CVC2, ответственность за это несёт компания, которая занималась обработкой данных. Поэтому, если сайт принимает платежи, он должен соблюдать принятые стандарты безопасности. Для этого компании во всём мире проводят ASV-сканирование.
Сканирование уязвимостей даёт понимание, насколько безопасны процессы обработки платежей. Международный стандарт PCI DSS предписывает максимально ограничить доступ к данным карт. Для этого с помощью сканирования выявляют уязвимые места в защите информационной инфраструктуры. Чаще всего это порты, которые оставляют открытыми для выхода в интернет, получения и отправки электронной почты, передачи файлов и т. д.
Сканирование уязвимостей ИТ-инфраструктуры даёт важную информацию, что нужно усилить, чтобы повысить безопасность CDE (среды данных об обладателях карт).
Какие компании должны проводить сканирование
Требования PCI DSS обязаны соблюдать все организации, которые занимаются хранением и обработкой данных карт с применением ИТ-инфраструктуры. Также это касается всех компаний, которые в процессе работы могут повлиять на безопасность дебетовых и кредитных карт. По сути, это относится к большинству компаний, работающих в 2021 году.
Размер и сфера деятельности организации не имеют значения, важен объём транзакций. По этому признаку компании разделяют на две группы:
- Компании, которые проводят не более 1 млн. транзакций в год, обязаны проводить сканирование на наличие уязвимостей.
- При объёмах свыше 1 млн. транзакций в год необходимо выполнять сканирование с участием независимого аудитора.
Компания, которая прошла ASV-сканирование, получает официальное подтверждение соответствия требованиям PCI. Его нужно предоставить банкам, которые оказывают эквайринговые услуги, то есть обрабатывают платежи по картам. Если у компании нет такого подтверждения, на её транзакции по платёжным картам накладываются штрафы.
Кто выполняет ASV-сканирование
Искать внешние уязвимости может только авторизованная компания с сертификатами PCI DSS. Это вызвано тем, что на внешние узлы приходится больше атак злоумышленников, и требования к соблюдению стандартов безопасности здесь строже. Компания должна получить одобрение в Payment Card Industry Data Security Standard, после чего её имя появится в списке утверждённых «поставщиков сканирования».
Как работает сканирование PCI ASV
Принцип сканирования построен на сценариях «если-то». Запущенный сценарий выявляет контрольные признаки уязвимостей, которые делят на критические и некритические. Первые в свою очередь ранжируют по степени рисков с помощью системы CVSS или других инструментов. Проверка не влияет на производительность инфраструктуры и не несёт никаких рисков компании.
Сканирование может быть внутренним и внешним. Внутреннее сосредоточено на уязвимостях в брандмауэрах сети. Внешнее сканирование отслеживает потенциальные угрозы извне. Цель — найти способы, которыми злоумышленник может атаковать сеть.
После сканирования компания получает документ с описанием, которое поможет исправить эти уязвимости. Как правило, это:
- уязвимости, влияющие на безопасность;
- стандартные скрипты;
- ошибки конфигурации серверов;
- уязвимости почтовых сервисов;
- избыточные сервисы;
- вредоносное ПО;
- POS-терминалы.
Так как в ИТ-систему регулярно вносятся изменения, ASV-сканирование нужно проводить регулярно. Принятая периодичность — раз в квартал. Если во время проверки произойдёт сбой, необходимо выполнить повторное сканирование в том же квартале.
Цикл 1:
- С января по март
- С апреля по июнь
- С июля по сентябрь
- С октября по декабрь
Цикл 2:
- С февраля по апрель
- С мая по июль
- С августа по октябрь
- С ноября по январь следующего года
Цикл 3:
- С марта по май
- С июня по август
- С сентября по ноябрь
- С декабря по февраль следующего года
PCI DSS-хостинг как альтернатива сканированию
Что делать, если вы хотите снять с себя ответственность за регулярное сканирование и приведение ИТ-инфраструктуры в соответсвия требованиям PCI DSS? Можно хранить и обрабатывать данные карт в облачном сервисе. Разумеется, у провайдера должен быть действующий сертификат PCI DSS. В этом случае вам не нужно тратить время и средства на покупку оборудования и поиск специалистов, знакомых со стандартом PCI DSS. При этом у банков нет претензий к тому, как в компании соблюдаются требования к безопасности данных.