Uso de AV gratuito para cumplir con el requisito 5 de PCI

Navega tus respuestas
1

Estoy buscando algunas opiniones sobre el uso de AV gratuito para cumplir con el requisito 5 de PCI. La forma en que leo esto para la versión 2.0 es que es completamente posible que un cliente satisfaga sus necesidades de AV con las versiones modernas y gratuitas.

Con las expansiones 3.0, parece que los sitios necesitarán un producto AV completo a menos que haya un producto que tenga los controles de la política (no conozco ninguno gratuito).

¿Alguien tiene clientes que ejecutan AV gratuito y cumple con esto para 2.0 o 3.0?

    
pregunta Shane Andrie 21.07.2014 - 18:52
fuente

2 respuestas

2

No hay nada intrínsecamente incorrecto en el uso de un producto antivirus gratuito para PCI, pero realmente necesita considerar su registro centralizado. No puede mantener los registros de su antivirus estrictamente en la estación de trabajo local y cumplir con los requisitos de retención.

    
respondido por el Tim Brigham 21.07.2014 - 20:18
fuente
0

PCI-DSS proporciona orientación, no recomendaciones de productos. Depende de usted decidir cómo protegerse bajo la guía de PCI-DSS.

Como tales, las versiones gratuitas de AV pueden ser adecuadas. Pero debe determinar cuál es la mejor opción para su entorno, y los riesgos y amenazas que ha identificado. Por favor, no utilice AV como una solución 'marcar la casilla'.

v3 sección 5.2 no parece indicar una solución "completa", solo una que no puede ser desactivada o modificada por los usuarios. Si sus usuarios no tienen acceso de administrador, es posible que pueda lograrlo utilizando un software AV gratuito.

    
respondido por el schroeder 21.07.2014 - 19:15
fuente

Lea otras preguntas en las etiquetas

¿Es realmente necesario UPnP / NAT-PMP hoy? ¿Funciona la prueba EICAR en escáneres antivirus basados en Linux?