Nuestra compañía va por un SAQ, bajo PCI DSS 3.1.
¿Debemos pagarle a un proveedor para que salga y realice un análisis en el sitio, o podemos usar algo como Nessus para realizar el análisis por nuestra cuenta?
Solo el escaneo externo requiere un ASV:
11.2.2 Realice exploraciones de vulnerabilidades externas trimestrales, a través de un proveedor de escaneo aprobado (ASV) aprobado por la tarjeta de pago. Consejo de Normas (PCI SSC). Realizar rescansos según sea necesario, hasta pasar. se logran escaneos.
Es solo en las exploraciones internas donde puede ejecutar una herramienta como Nessus ( em mía):
11.2.1 Realice exploraciones de vulnerabilidades internas trimestrales y vuelva a examinarlas según sea necesario, hasta que todas las vulnerabilidades de "alto riesgo" (como se identifican en Requisito 6.1) se resuelven. Las exploraciones deben ser realizadas por personal cualificado. personal.
verifique que la exploración fue realizada por un recurso interno calificado o tercero externo calificado y, si corresponde, organización la independencia del probador existe (no se requiere que sea un QSA o ASV)
La prueba externa no requiere que nadie "salga". Simplemente puede usar un servicio automatizado como Hacker Guardian que satisfará el análisis realizado por un ASV.
Para citar PCI DSS 3.1 sección 11.2:
Se requieren tres tipos de análisis de vulnerabilidad para PCI DSS:
- Escaneo de vulnerabilidad trimestral interno por personal calificado (no se requiere el uso de un proveedor de escaneo aprobado (ASV) de PCI)
- Exploración de vulnerabilidad trimestral externa, que debe ser realizada por un ASV
- Escaneo interno y externo según sea necesario después de cambios significativos
Entonces necesita un ASV para sus exploraciones externas , pero puede hacerlo usted mismo para exploraciones internas . Si usted es auditado por un QSA, en lugar de completar el SAQ, espere que le pidan pruebas de que la persona que realiza las exploraciones está calificada; no puede hacer que Bob en Contabilidad lo haga a menos que tenga algo en su currículum. indica que sabe algo sobre seguridad.
Depende del tipo de escaneo que estés viendo. Ya que mencionó que su compañía está haciendo un SAQ ( enlace ), supongo que será una auditoria interna. Como SilverlightFox y gowenfawr han sugerido, hacerlo internamente solo requiere un experto interno para asegurarse de que todo sea compatible con PCI.
Una empresa en la que trabajé hace unos años usó HackerGuardian ( enlace ) para cumplir el requisito de escaneo externo en lugar de contratar a un tercero ASV.
Lea otras preguntas en las etiquetas penetration-test pci-dss vulnerability-scanners nessus