O ASV scanner é um complexo de hardware e software que verifica os pontos de conexão da rede interna de uma organização com os recursos da Internet.
A digitalização é realizada de acordo com os requisitos do padrão PCI DSS. As organizações que fornecem esse serviço devem ter o status necessário (PCI ASV).
A digitalização ASV é obrigatória para todas as organizações que aceitam Cartões Bancários para pagamento – por exemplo, lojas offline e online.
A digitalização ASV é obrigatória para todas as organizações que aceitam Cartões Bancários para pagamento — por exemplo, lojas offline e online.
PCI DSS compliance
As etapas da digitalização
O procedimento de digitalização é condicionalmente dividido em várias etapas.
- O cliente prepara a infraestrutura corporativa para a digitalização. Identifica uma parte da infraestrutura de rede que pertence ao escopo do padrão PCI DSS.
- O auditor realiza uma auditoria no dia marcado de acordo com os requisitos da norma. Utiliza equipamentos especializados e certificados para verificação.
- Ao final do processo, o cliente recebe um documento apropriado sobre os resultados da auditoria. Ele também fornece recomendações sobre como corrigir vulnerabilidades.
Princípio de digitalização
O scanner ASV é fornecido como um serviço de assinatura. O cliente se cadastra no site da prestadora de serviços e escolhe uma das opções de atendimento.
Na próxima etapa, o cliente define uma programação para a digitalização. Via de regra, o procedimento é realizado uma vez por trimestre. Especifique o endereço IP do site (se for branco) ou o nome do domínio. Depois disso, o cliente paga pelo serviço.
O scanner verifica os endereços especificados em busca de vulnerabilidades, o grau de risco e outros parâmetros prescritos no padrão PCI DSS. Se forem encontradas vulnerabilidades, o cliente receberá um relatório sobre cada problema com uma descrição detalhada do risco, grau de ameaça, avaliação CVSS, código CVE e como corrigir o problema.
O CVSS é um padrão da indústria de código aberto, com base no qual o nível de risco de cada vulnerabilidade é avaliado. Uma pontuação CVSS é um valor atribuído a uma vulnerabilidade, dependendo do nível de ameaça.
CVE (Common Vulnerabilities and Exposures) é uma lista global de ameaças e vulnerabilidades. Um número único (código CVE) é atribuído a cada registro.
O laudo tem validade de 90 dias corridos. Durante esse período, O cliente é obrigado a eliminar os erros encontrados e fazer uma nova varredura. Se não houver vulnerabilidades, é emitido um certificado de conformidade do sistema de informações com os requisitos do PCI DSS.