La pregunta está en el título. Parece que no puedo encontrar una respuesta directa y parece que Tenable está esquivando una respuesta de sí / no en su sitio web. Hace unos años me dijeron que Qualys fue aprobado por PCI para el cumplimiento de PCI, y que Nessus en ese momento no lo era. ¿Ha cambiado esto?
11.2.1 Realizar análisis de vulnerabilidad internos trimestrales. Trate las vulnerabilidades y realice reexploraciones para verificar que todas las vulnerabilidades de "alto riesgo" se resuelvan de acuerdo con la clasificación de vulnerabilidades de la entidad (según el Requisito 6.1). Las exploraciones deben ser realizadas por personal calificado.
Para las exploraciones internas, puede usar Nessus siempre y cuando tenga procedimientos documentados y el personal esté "calificado".
11.2.2 Realice exploraciones de vulnerabilidad externas trimestrales, a través de un Proveedor de escaneo aprobado (ASV) aprobado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). Realice los reexámenes según sea necesario, hasta que se logren los exámenes de aprobación.
Para exploraciones externas, la exploración debe realizarla un proveedor de exploración aprobado (ASV). Puede encontrar la lista de ASV en enlace . En ese caso, Nessus no podría ser utilizado por su propia organización, ya que un ASV debe ser un tercero.
Estas herramientas son simplemente herramientas de escaneo, no herramientas de prueba de penetración, ya sea que pueden ayudarlo con su proceso de cumplimiento, pero ambas requieren un seguimiento manual para detectar falsos positivos y negativos, evaluaciones de impacto, etc. Por lo tanto, no estoy 100% seguro. lo que quiere decir con "aprobado para exploraciones PCI".
Ciertamente, Tenable ofrece escaneo ASV como parte de su conjunto de productos, lo que parece una declaración bastante sencilla de que puede usar Nessus como parte de sus pruebas de PCI.