الأسئلة المتكررة الخارجية حول PCI ASV
تجربة Tenable Vulnerability Management
قم بإجراء فحصك الأول في أقل من 60 ثانية.
PCI ASV
ما المقصود بـ PCI ASV؟
يشير PCI ASV إلى المتطلب 11.2.2 من متطلبات معيار أمان البيانات في مجال بطاقات الدفع وإجراءات تقييم الأمن التي تتطلب عمليات فحص خارجية للثغرات الأمنية، والتي يجب إجراؤها (أو التصديق عليها) من جانب مورِّد فحص معتمد. وتُعد ASV مؤسسة لديها مجموعة من الخدمات والأدوات ("حل الفحص ASV")؛ للتحقق من الالتزام بمتطلبات الفحص الخارجي في المتطلب PCI DSS 11.2.2.
ما الأنظمة الموجودة في نطاق فحص مورِّد الفحص المعتمد؟
يتطلب معيار PCI DSS فحص الثغرات الأمنية لجميع مكونات النظام التي يمكن الوصول إليها خارجيًا (المواجهة للإنترنت) التي يمتلكها أو يستخدمها عميل الفحص والتي تُعد جزءًا من بيئة بيانات حامل البطاقة، بالإضافة إلى أي مكون نظام مواجه خارجيًا يوفر مسارًا إلى بيئة بيانات حامل البطاقة.
ما هي عملية مورِّد الفحص المعتمد؟
تتكون المراحل الأساسية لفحص ASV من:
- تحديد النطاق: يقوم العميل بأدائه ليشمل جميع مكونات النظام المواجهة للإنترنت، والتي تُعد جزءًا من بيئة بيانات حامل البطاقة.
- الفحص: باستخدام قوالب Tenable Vulnerability Management PCI وWAS المُحددة. ويمكن فحص أقسام بيئة بيانات حامل البطاقة (CDE) المتعددة على حدة.
- دمج عمليات الفحص المتعددة في عملية تصديق واحدة
- تقديم التقارير/المعالجة: تنتج عن معالجة التقارير المرحلية.
- حل النزاعات: يعمل العميل ومورِّد الفحص المعتمد (ASV) (شركة Tenable) معًا لتوثيق نتائج الفحص المتنازع عليها وحلها.
- إعادة الفحص (عند الضرورة): حتى إنشاء عملية فحص ناجحة من شأنها حل النزاعات والاستثناءات.
- دمج عمليات الفحص المتعددة في عملية تصديق واحدة
- التقرير النهائي: يتم إرساله وتسليمه بطريقةٍ آمنة.
كم مرة يتم طلب عمليات فحص مورِّد الفحص المعتمد؟
يجب القيام بعمليات فحص الثغرات الأمنية لمورِّد الفحص المعتمد (ASV) كل ثلاثة أشهر على الأقل وبعد أي تغيير كبير في الشبكة، مثل عمليات تثبيت مكونات جديدة في النظام، أو التغييرات في تخطيط الشبكة، أو تعديلات قاعدة جدار الحماية، أو ترقيات المنتج.
ما الاختلاف بين مورِّد الفحص المعتمد (ASV) ومُقيِّم الأمن المؤهل (QSA)؟
يُجري مورِّد الفحص المعتمد على وجه التحديد عمليات فحص الثغرات الأمنية الخارجية فقط، كما هو موضح في PCI DSS 11.2. ويشير مُقيِّم الأمن المؤهل (QSA) إلى شركة التقييم التي تم تأهيلها وتدريبها من جانب مجلس معايير أمن PCI لإجراء تقييمات PCI DSS العامة في الموقع.
هل تُعد شركة Tenable PCI ASV معتمدًا؟
نعم. تُعد شركة Tenable مؤهلةً بصفتها مورِّد فحص معتمدًا (ASV)؛ للتحقق من صحة عمليات فحص الثغرات الأمنية الخارجية في بيئات واجهة الإنترنت (المستخدمة لتخزين بيانات حامل البطاقة أو معالجتها أو نقلها) الخاصة بالتجار ومقدمي الخدمات. تتكون عملية تأهيل مورِّد الفحص المعتمد (ASV) من ثلاث مراحل: تتضمن المرحلة الأولى تأهيل Tenable Network Security كمورِّد. وتتعلق المرحلة الثانية بتأهيل موظفي Tenable المسؤولين عن خدمات فحص PCI عن بُعد. يتكون الثالث من اختبار الأمان لحل الفحص عن بعد من Tenable (Tenable Vulnerability Management و Tenable PCI ASV).
بصفتك مورِّد فحوصات معتمدًا (ASV)، هل تجري شركة Tenable عمليات الفحص بالفعل؟
سيادة البيانات
هل يتوافق Tenable PCI ASV مع متطلبات سيادة بيانات الاتحاد الأوروبي؟
بيانات الثغرات الأمنية ليست بيانات توجيه حماية البيانات للاتحاد الأوروبي 95/46/EC، لذا فإن أي متطلبات خاصة بموقع البيانات ستكون مستندة إلى العميل وليس إلى الجهة التنظيمية. ويمكن أن يكون للمنظمات الحكومية التابعة لدول الاتحاد الأوروبي متطلباتها الخاصة بموقع البيانات، ولكن يجب تقييم هذه المتطلبات على أساس كل حالة على حدة، ولا تمثل مشكلة على الأرجح لعمليات فحص PCI-ASV.
أسعار/ترخيص/طلب Tenable Vulnerability Management ASV
هل يتضمن Tenable Vulnerability Management أي تراخيص PCI ASV؟
نعم، يتضمن Tenable Vulnerability Management ترخيص PCI ASV لأصل PCI واحد وفريد. وقد بذلت بعض المؤسسات كل ما في وسعها للحد من الأصول الموجودة في النطاق الخاصة بمجال بطاقات الدفع، عن طريق الاستعانة بمصادر خارجية لوظائف معالجة الدفع في الغالب. ونظرًا لأن هؤلاء العملاء "ليسوا في مجال عمل PCI"، فقد بسطت شركة Tenable عمليات الشراء والترخيص الخاصة بها. ويمكن للعميل تغيير الأصل الخاص به كل 90 يومًا.
كيف يُرخص Tenable PCI ASV؟
بالنسبة للعملاء الذين لديهم أكثر من أصل PCI واحد وفريد، يتم ترخيص حل Tenable PCI ASV كإضافة إلى اشتراكات Tenable Vulnerability Management.
لماذا لا يتم ترخيص Tenable PCI ASV وفقًا لعدد أصول PCI المواجهة للإنترنت الخاصة بالعميل؟
يمكن أن يتغير عدد الأجهزة المضيفة المواجهة للإنترنت التي توجد داخل بيئة بيانات حامل البطاقة الخاصة بالكيان، أو توفر مسارًا إليها بشكلٍ متكرر، وهو ما يؤدي بدوره إلى خلق تعقيد الترخيص. وقد اختارت شركة Tenable استخدام نهج ترخيص أبسط.
كم عدد التصديقات التي يمكن للعميل تقديمها كل ثلاثة أشهر؟
يمكن للعملاء تقديم عدد غير محدود من عمليات التصديق ربع السنوية.
هل عملاء التجربة المجانية/التقييم مؤهلون لتقييم Tenable PCI ASV؟
نعم. يمكن لعميل التقييم استخدام قالب الفحص الخارجي ربع السنوي PCI لفحص الأصول ومراجعة النتائج. ولكن، لا يمكنه تقديم تقارير الفحص للتصديق عليها.
كيف سيحصل العملاء الحاليون لـ Tenable Vulnerability Management على الإمكانيات الجديدة؟
سيتم تفعيل الإمكانية الجديدة تلقائيًا في 24 يوليو 2017؛ بحيث يمكن للعملاء استخدامها في فحص PCI ASV القادم. ولن يحتاج العملاء الحاليون إلى ترخيص إمكانية PCI ASV الجديدة لمدة لا تقل عن عام واحد.
كيف سينتقل عملاء SecurityCenter الذين قاموا بترخيص إمكانية PCI ASV الحالية إلى الإمكانية الجديدة؟
سيبدأ عملاء SecurityCenter® الذين قاموا بالفعل بترخيص الفحص الخارجي/فحص PCI في استخدام Tenable PCI ASV بعد أن يصبح متاحًا. وعند التجديد، يمكن لهؤلاء العملاء التجديد ببساطة باستخدام وحدات حفظ المخزون الموجودة لديهم. ولكن، قد يكون من مصلحتهم ترخيص الحل Tenable PCI ASV بدلاً من ذلك.
- Tenable Vulnerability Management