Escaneo ASV: ¿Qué esperar de los servicios de escaneo externos?

Navega tus respuestas
3

Se nos ha pedido que realicemos una exploración de vulnerabilidades en nuestros servidores que procesan transacciones con tarjetas de pago como un requisito para el cumplimiento de PCI. Los mandatos de PCI DSS esta exploración debe ser realizada por un ASV.

¿Qué debo esperar del resultado de este análisis?

¿A qué tipo de escaneo corresponde este escaneo? ¿Es como un escaneo de puertos como el escaneo de nmap? ¿Es como un escaneo de servicios de red como un escaneo de nessus? Es como un escaneo de vulnerabilidad de la aplicación? ¿Es un pentest?

¿ASV limita su servicio para proporcionar solo una herramienta de seguridad basada en la nube para identificar vulnerabilidades en sus servidores o ASV nos ayuda a solucionarlos?

    
pregunta isdhvksdn 17.03.2016 - 22:26
fuente

1 respuesta

3

Estos son análisis de vulnerabilidad que son más detallados y tienen más información de seguridad básica que un simple análisis de puertos. Estos tampoco son tan detallados y no son tan profundos como una prueba de penetración completa.

La empresa de pruebas de ASV puede realizar la prueba de varias maneras y tener un portal para solicitar una exploración no es un requisito en absoluto.

Se podría considerar un conflicto de intereses si su ASV soluciona sus problemas, por lo que normalmente no es manejado por la misma compañía. El PCI DSS 3.1 menciona la independencia organizativa en la sección 11.3.1.b del PCI DSS enlace

Puede obtener más información sobre los ASV en la Guía del programa PCI ASV. enlace

    
respondido por el Trey Blalock 17.03.2016 - 22:35
fuente

Lea otras preguntas en las etiquetas

¿Cómo almacena KEEPASS imágenes, videos y documentos / artículos adjuntos? [duplicar] ¿Hay algún beneficio en el cifrado de mensajes con PGP que se transmitirá a través de SSL a un servidor REST?