ASV scanner
Сканирование проводится по требованиям стандарта PCI DSS. Организации, которые предоставляют подобную услугу, должны обладать необходимым статусом (PCI ASV).
ASV-сканирование обязательно для всех организаций, которые принимают банковские карты к оплате — например, офлайн- и онлайн-магазины.
ASV-сканирование обязательно для всех организаций, которые принимают банковские карты к оплате — например, оффлайн- и онлайн-магазины.
Этапы сканирования
Процедура сканирования условно разделяется на несколько этапов.
- Заказчик подготавливает инфраструктуру предприятия к сканированию. Выделяет часть сетевой инфраструктуры, которая относится к области действия стандарта PCI DSS.
- Аудитор в назначенный день проводит проверку согласно требованиям стандарта. Использует специализированное оборудование, которое сертифицировано для проведения проверки.
- По окончании процесса клиенту предоставляется соответствующий документ о результатах проверки. В нем также приводятся рекомендации по устранению уязвимостей.
Принцип сканирования
ASV-сканер предоставляется как услуга по подписке. Заказчик регистрируется на сайте поставщика услуги и выбирает один из вариантов услуги.
На следующем шаге клиент задает расписание для сканирования. Как правило, процедура проводится раз в квартал. Указывается IP-адрес сайта (если он белый) либо доменное имя. После этого заказчик оплачивает услугу.
Сканер проверяет заданные адреса на наличие уязвимостей, степень риска и другие параметры, которые прописаны в стандарте PCI DSS. Если уязвимости будут найдены, то заказчику будет предоставлен отчет о каждой проблеме с подробным описанием риска, степени угрозы, CVSS-оценка, CVE-код и способ устранения проблемы.
CVSS — это промышленный стандарт открытого типа, на основании которого производится оценка уровня опасности каждой уязвимости. CVSS-оценка — это значение, которое присвоено уязвимости в зависимости от уровня угрозы.
CVE (Common Vulnerabilities and Exposures) — глобальный перечень угроз и уязвимостей. Для каждой записи присваивается уникальный номер (CVE-код).
Отчет действителен в течение 90 календарных дней. В этот период клиент обязан устранить найденные ошибки и провести повторное сканирование. Если уязвимости отсутствуют, то выдается сертификат соответствия информационной системы требованиям PCI DSS.