¿Qué tipo de 'exploración de seguridad' comprende una verificación de cumplimiento de PCIDSS?

Navega tus respuestas
0

Nuestra firma procesa la información de CC sobre una base ad hoc. No se registran datos de titulares de tarjetas en ninguna de nuestras bases de datos y tampoco otorgamos acceso público a ninguna de nuestras bases de datos o servidores de aplicaciones empresariales.

Sin embargo, se nos cobra una tarifa de incumplimiento de PCI cada mes. Entonces, cuando presenté este problema, nuestro departamento de contabilidad se comunicó con el proveedor del servicio y nos informaron que necesitábamos darles permiso para realizar un análisis de seguridad.

Entonces, ¿para qué prueba este 'escaneo'? que no sea la respuesta 'cumplimiento, tonto'

    
pregunta James B. Byrne 12.02.2016 - 18:02
fuente

1 respuesta

1

Según su descripción, esto suena como un escaneo de un proveedor de escaneo aprobado por PCI (ASV). Esta es la guía de programas que explica más de lo que se requiere para un ASV: enlace

A un nivel muy alto, los análisis ASV buscan ciertos tipos de vulnerabilidades en los sistemas expuestos a Internet. Esto puede incluir problemas de configuración, parches faltantes y otras cosas de esa naturaleza.

Lo que querrán escanear son direcciones IP externas que forman parte del Entorno de datos del titular de la tarjeta (CDE). Dado que maneja los datos de la tarjeta de crédito, aunque no retenga las tarjetas, al menos una parte de su entorno se considerará CDE. El estándar PCI DSS, también disponible en el sitio anterior, ofrece más detalles sobre el alcance de un CDE.

    
respondido por el Jin 12.02.2016 - 19:39
fuente

Lea otras preguntas en las etiquetas

¿Existen medidas para la complejidad de la aplicación web que se correlacionan positivamente con el número? Vulnerabilidades? WEP man in the middle