ASV-сканирование — что это?

Международный стандарт в области безопасности платёжных карт PCI DSS предъявляет ряд требований к организациям, которые реализуют платежные карты как средство платежей. Так, в платежной системе «Мир» необходимость соответствия PCI DSS определена в Стандарте ПС «Мир» «Программа безопасности», аналогичное требование установлено многими другими операторами платежных систем, например, Visa или MasterCard.

Стандарт безопасности PCI DSS содержит в себе требование 11.2.2., в котором установлена необходимость проведения внешнего сканирования уязвимостей с привлечением внешней организации, аккредитованной Советом PCI SSC.

ASV-сканирование: определение и необходимость

ASV-сканирование представляет собой процедуру, проводимую на ежеквартальной основе и представляющей собой сканирование уязвимостей той части инфраструктуры, которая обрабатывает информацию о данных держателей карт, а также непосредственно соединена с сетью Интернет.

Необходимость проведения ASV-сканирований следует из необходимости для конкретной организации выполнять требования стандарта PCI DSS. Такая необходимость может быть установлена, например, в договорах с платежными системами. Ещё одним условием служит объём транзакций, осуществляемых организацией с применением платежных карт — привлекать независимого аудитора нужно, если объем транзакций в год превышает 1 миллион.

Главной целью ASV-сканирования, как и иных видов сканирования уязвимостей, является получение объективной картины состояния своей инфраструктуры. В свою очередь это даёт понимание того, как те или иные пробелы в защищенности нужно закрывать. Работы по сканированию уязвимостей могут вскрыть ошибки в конфигурации сетевого и серверного оборудования, факты применения устаревших сервисов, наличие вредоносного программного обеспечения на объектах инфраструктуры и так далее.

Порядок проведения сканирования

Перед проведением ASV-сканирования исполнителям передаётся перечень IP-адресов организации, на которых размещена инфраструктура, соединенная с системой обработки платежей. Само сканирование заключается в анализе программ и сервисов, доступных по предоставленным адресам. По результатам сканирования подготавливается отчёт с детальным описанием выявленных уязвимостей и выводом о том, соответствует ли организация требованиям стандарта PCI.

Четких дат для проведения сканирования не устанавливается, поскольку стандарт подразумевает, что исследования безопасности должны проводиться в случае изменения инфраструктуры — например, в случае обновления прошивок сетевого оборудования либо добавления новых сетевых сервисов. Результаты сканирования являются валидными в течение 90 дней с даты последнего сканирования, новое исследование нужно провести до окончания этого срока.

Если в ходе сканирования получена информация о наличии критичных уязвимостей, организации даётся время на их устранение. После этого проводится повторное сканирование.

Какие компании могут выполнять данную процедур

Как уже было сказано ранее, для проведения ASV-сканирования привлекается независимая организация, аккредитованная разработчиками стандарта. Организация, которая подтвердила свою компетентность, получает статус ASV (Approved Scanning Vendor, одобренный поставщик услуг сканирования). Перечень таких компаний можно найти на официальном сайте PCI.

PCI DSS-хостинг как альтернатива сканированию

Обязательство по проведению ASV-сканирования действует в случае обработки данных платежных карт на стороне банка. В то же время существуют облачные сервисы, предоставляющие бизнес-функционал для обработки данных платежных карт и самостоятельно обеспечивающие защиту информации. Если у поставщика облачных услуг есть действующий сертификат соответствия PCI DSS, то можно обратиться к нему и тем самым сократить расходы.

ASV-сканирование: основные моменты

Требования по защите информации в инфраструктуре платежных карт обычно устанавливаются платёжными системами. В перечень требований включается необходимость соответствия стандарту PCI DSS, подразумевающего периодическое проведение сканирования уязвимостей с привлечением независимых аккредитованных организаций.

ASV-сканирование проводится периодически: не реже одного раза в квартал или в случае внесения изменений в инфраструктуру, задействованную в обработке данных держателей карт. По результатам сканирования осуществляется устранение уязвимостей, либо делается вывод о том, что организация соответствует требованиям стандарта PCI.