PCI ASV External FAQ

PCI ASV는 분기별 외부 취약성 스캔을 요구하는 결제 카드 산업(PCI) 데이터 보안 표준(DSS) 요건 및 보안 평가 절차의 요구 사항 11.2.2를 참조하며 이 취약성 스캔은 승인된 스캐닝 공급업체(ASV)에 의해 수행(또는 증명)되어야 합니다. ASV는 PCI DSS 요건 11.2.2의 외부 스캐닝 요구 사항 준수를 확인하기 위한 일련의 서비스 및 도구('ASV 스캐닝 솔루션')를 보유한 조직입니다.

PCI DSS는 카드 소유자 데이터 환경의 일부인 스캔 고객이 소유하거나 사용하는 모든 외부 액세스 가능(인터넷 연결) 시스템 구성 요소와 카드 소유자 데이터 환경에 대한 경로를 제공하는 모든 외부를 향한 시스템 구성 요소에 대한 취약성 스캐닝을 요구합니다.

ASV 스캐닝의 주요 단계는 다음으로 구성됩니다.

• 범위 지정: 카드 소유자 데이터 환경의 일부인 모든 인터넷 연결 시스템 구성 요소를 포함하기 위해 고객이 수행합니다.
• 스캐닝: 지정된 Tenable Vulnerability Management PCI 및 WAS 템플릿을 사용합니다. 여러 카드 소유자 데이터 환경(CDE) 섹션은 개별적으로 스캔할 수 있습니다.
• 여러 스캔을 단일 증명으로 병합
• 보고/수정: 중간 보고서의 결과가 수정됩니다.
• 이의 제기 해결: 고객과 ASV(Tenable)가 함께 이의 제기가 일어난 스캔 결과를 문서화하고 해결합니다.
• 다시 스캔(필요 시): 이의 제기와 예외를 해결하는 통과 스캔이 생성될 때까지 다시 스캔합니다.
• 여러 스캔을 단일 증명으로 병합
• 최종 보고: 안전한 방식으로 제출 및 전달됩니다.

ASV 취약성 스캔은 최소한 분기별로 한 번 이상 수행하거나 새 시스템 구성 요소 설치, 네트워크 토폴로지 변경, 방화벽 규칙 수정 또는 제품 업그레이드 등 네트워크에서 중요한 변경이 발생한 후에 수행해야 합니다.

ASV는 특히 PCI DSS 11.2에 설명된 외부 취약성 스캔만 수행합니다. QSA는 일반적인 PCI DSS 현장 평가를 수행하기 위해 PCI 보안 표준 위원회(SSC)로부터 인증과 교육을 받은 평가 업체를 말합니다.

예. Tenable은 판매자 및 서비스 공급자의 인터넷 연결 환경(카드 소유자 데이터를 저장, 처리 또는 전송하는 데 사용)에 대한 외부 취약성 스캔을 검증하는 승인된 스캐닝 공급업체(ASV)로 인증받았습니다. ASV 자격 취득 프로세스는 세 부분으로 구성됩니다. 첫 번째는 공급업체로서 Tenable Network Security의 자격 취득과 관련됩니다. 두 번째는 원격 PCI 스캐닝 서비스를 담당하는 Tenable 직원의 자격 취득과 관련됩니다. 세 번째는 Tenable의 원격 스캐닝 솔루션(Tenable Vulnerability Management 및 Tenable PCI ASV)으로 구성됩니다.

ASV는 스캔을 수행할 수 있습니다. 단, Tenable은 고객이 PCI 분기별 외부 스캔 템플릿을 사용하여 자체 스캔을 수행하는 것에 의존합니다. 이 템플릿은 고객이 취약성 검사 사용 중지, 심각도 수준 할당, 스캔 매개 변수 변경 등과 같은 구성 설정을 변경할 수 없도록 합니다. 고객은 Tenable Vulnerability Management 클라우드 기반 스캐너를 사용하여 인터넷에 연결된 환경을 스캐한 다음 증명을 위해 컴플라이언스 스캔 보고서를 Tenable에 제출합니다. Tenable에서 스캔 보고서를 증명한 다음, 고객은 결제 브랜드의 지시에 따라 취득자 또는 결제 브랜드에 보고서를 제출합니다.

취약성 데이터는 EU DPD 95/46/EC 데이터가 아니므로, 모든 데이터 보존 요구 사항은 규제 중심이 아닌 고객 중심입니다. EU 주 정부 조직에는 자체 데이터 보존 요구 사항이 있을 수 있지만, 사례별로 평가되어야 하며 PCI-ASV 스캔에 대한 문제는 아닐 수 있습니다.

예, Tenable Vulnerability Management는 단일 고유 PCI 자산에 대한 PCI ASV 라이선스를 포함합니다. 일부 조직은 종종 결제 처리 기능을 아웃소싱하여 PCI의 범위에 포함되는 자산을 제한하기 위해 많은 노력을 기울여 왔습니다. 이런 고객은 거의 틀림없이 "PCI 비즈니스 부문에 속하지 않기" 때문에, Tenable은 구매 및 라이선싱을 단순화했습니다. 고객은 90일마다 자산을 변경할 수 있습니다.

단일 고유한 PCI 자산이 하나 이상인 고객은 Tenable PCI ASV 솔루션은 Tenable Vulnerability Management 구독의 추가 기능으로 라이선스됩니다.

엔터티의 카드 소유자 데이터 환경(CDE) 내에 있거나 이 환경에 대한 경로를 제공하는 인터넷 연결 호스트의 수는 자주 변경될 수 있으며 따라서 라이선싱이 복잡해질 수 있습니다. Tenable은 보다 간단한 라이선싱 접근 방법을 사용하기로 선택했습니다.

고객은 분기별 증명을 무제한으로 제출할 수 있습니다.

예. 평가 고객은 PCI 분기별 외부 스캔 템플릿을 사용해 자산을 스캔하고 결과를 검토할 수 있습니다. 하지만, 스캔 보고서를 증명을 위해 제출할 수는 없습니다.

새 기능은 2017년 7월 24일에 자동으로 활성화되므로 고객은 다음번 PCI ASV 스캔에 사용할 수 있습니다. 기존 고객은 최소 1년 동안 새 PCI ASV 기능을 라이선스할 필요가 없습니다.

이미 외부/PCI 스캐닝 라이선스가 있는 SecurityCenter® 고객은 Tenable PCI ASV가 사용 가능하게 되면 바로 사용을 시작할 수 있습니다. 갱신 시 해당 고객은 기존 SKU를 사용하여 간단하게 갱신할 수 있습니다. 그렇지만 대신에 Tenable PCI ASV 라이선스를 구입하는 것이 유리할 수 있습니다.