什麼是PCI ASV,ASV掃描的流程,ASV範圍的確定,ASV掃描報告,
什麼是PCI ASV
授權掃描服務商是經過支付卡產業安全標準委員會(PCI SSC:Payment Card Industry Security Standards council)認可的(可以通過這裡進行查詢),為商戶和服務提供商的對外提供服務的網際網路環境執行脆弱性掃描的組織,它的目的是為了驗證商戶和服務提供商遵守一定的PCI DSS要求(PCI DSS 11.2要求)。
對於ASV的認證,PCI SSC除了對公司的資質要求以外,掃描工具也需要經過PCI SSC的認可。除此以外執行ASV掃描的人員則需要通過PCI SSC的ASV線上考試。
ASV掃描的流程
根據PCI SSC的規定,所有ASV的執行過程和流程都應該要滿足“asv_program_guide_v1.0”的要求。該指導檔案描述了ASV掃描流程中的不同角色,掃描範圍的確定,脆弱性分類,掃描報告內容描述,誤報處理,報告的交付和完整性保護,質量保證等內容。
ASV範圍的確定
在執行ASV掃描之前,執行掃描的人員需要與客戶一起去確定ASV掃描的範圍。通常客戶需要提供其對外提供服務的所有IP位址列表,網路拓撲圖以及相關的資料以便掃描人員能夠根據PCI DSS要求判斷那些系統組件應該要在掃描的範圍之內。按照PCI DSS的要求:所有對外提供服務的涉及持卡人信息傳輸,處理或者存儲的系統組件都需要每季度執行ASV掃描。這裡的系統組件包括但不限於伺服器,網路設備,安全設備。
在初步確定ASV掃描範圍之後,掃描人員需要使用ASV掃描工具的“探測”功能去探測目標系統以及與其相關聯繫統組件的狀態。在這個環節當中, ASV掃描工具會自動化的去識別與預設目標相關聯的系統組件的活動狀態,所以“探測”掃描發現的IP位址數量通常會比預設目標的IP數量會更多。這時候掃描人員就需要根據發現的結果與客戶進行討論以最終確認ASV的掃描範圍。
ASV掃描報告
PCI SSC對於ASV掃描報告格式有嚴格的要求,每個ASV在報告中都需要包含以下的內容:
□掃描認證的合規性
這部分的內容是整體的總結,主要顯示客戶的基礎架構是否滿足PCI DSS審核要求並且通過ASV的掃描。
□ ASV掃描報告執行摘要
這一章節的內容需要列舉組件(通過IP位址的形式)的脆弱性以顯示每個被掃描的IP位址是否滿足PCI DSS審核要求並且通過ASV的掃描。這個章節當中,所有的脆弱性都會對應到特定的IP位址,每個脆弱性都會與IP位址一一對應。
□ ASV掃描報告漏洞詳細資訊
這個章節包含對應脆弱性合規的狀態(通過 / 失敗)的總結以及被發現的脆弱性的詳細描述。
除上述描述以外,作為一份被認可的ASV掃描報告,它需要包含兩個非常重要的元素:被掃描客戶對ASV掃描的認可聲明(包括掃描的範圍,客戶的信息等內容)另外一個則是具有PCI SSC ASV資質認定的人員對於報告的認可。其中最後一個元素被視為ASV掃描報告有效性的證明。任何沒有經由具有PCI SSC ASV資質認定的人員聲明的ASV報告將不被視為一份合規的ASV掃描報告。