Вход
Мы в социальных сетях

Аналитика и комментарии

29 декабря 2018

ASV-СКАНИРОВАНИЕ В ОДНО КАСАНИЕ

A A A

Международные платежные системы предъявляют особые требования к уровню безопасности транзакций. Своевременно установить различного рода уязвимости и некорректные конфигурации сетевой инфраструктуры позволяет процедура ASV-сканирования. О том, для каких целей служит данная проверка, рассказывают специалисты компании ARinteg – одного из ведущих российских системных интеграторов ИТ-безопасности, обладающего подтвержденным статусом ASV-провайдера.

ASV-СКАНИРОВАНИЕ: ЧТО ЭТО ТАКОЕ?

ASV-сканирование – это процедура ежеквартальной проверки всех точек подключения к сети интернет на наличие уязвимостей. Данная процедура разработана Советом по стандартам безопасности данных индустрии платежных карт. Это открытое глобальное сообщество, в задачи которого входят постоянная разработка, совершенствование, хранение, распространение и практическое внедрение стандартов безопасности банковских данных. Главная цель создания такого сообщества заключается в повышении безопасности данных индустрии платежных карт посредством обучения и информирования о стандартах безопасности PCI DSS. Совет создан по инициативе международных платежных систем American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa, Inc.

КТО ОБЯЗАН ПРОХОДИТЬ ПРОВЕРКУ?

Процедура ASV-сканирования на предмет соответствия требованиям международного стандарта безопасности PCI DSS распространяется на все организации, которые хранят, обрабатывают или передают данные держателей платежных карт. Отдельная градация существует в отношении сервисных компаний и процессинговых центров.

КАК ПОДТВЕРДИТЬ СООТВЕТСТВИЕ ТРЕБОВАНИЯМ СТАНДАРТА PCI DSS?

Для прохождения ASV-сканирования необходимо обратиться к специализированным поставщикам услуг, аккредитованным Советом по стандартам безопасности данных индустрии платежных карт.

Компании ARinteg статус ASV-провайдера (Approved Scanning Vendor) впервые был присвоен более трех лет назад. Ежегодно системный интегратор успешно подтверждает свой экспертный уровень. Опираясь на многолетний опыт аудита защищенности внешнего периметра и внутренних сетей, ARinteg помогает организациям финансового сектора и компаниям из других отраслей успешно проходить необходимые процедуры проверки на предмет соответствия PCI DSS.

КАК ПРОХОДИТПРОЦЕДУРА СКАНИРОВАНИЯ?

Сканирование проводится удаленно в формате выделенного технологического окна в течение 24 часов. Дату и время сканирования можно согласовать индивидуально.

НЕОБХОДИМО ЛИ ЗАРАНЕЕ ГОТОВИТЬСЯ К ПРОВЕРКЕ?

На время проведения проверки обязательным требованием стандарта PCI DSS является отключение (переключение в режим мониторинга) средств активной защиты, основанных на поведенческом анализе (IPS, WAF).

В случае использования балансировщиков трафика требуется подтверждение синхронизации сетевых потоков. Процедура ASV-сканирования абсолютно безопасна и не влияет на производительность сетевой инфраструктуры.

ЧТО ПРОИСХОДИТ ВО ВРЕМЯ СКАНИРОВАНИЯ?

В рамках тестирования определяется наличие доступных IP-адресов из списка, предоставленного заказчиком, проводится сканирование всего диапазона TCP-портов и стандартных UDP-портов.

Осуществляется попытка точной идентификации используемых версий операционных систем и запущенных сервисов вне зависимости от используемых платформ.

ЭТАПЫ ASV-СКАНИРОВАНИЯ

Главное отличие услуг ARinteg – комплексный подход к ASV-сканированию и содействие заказчику в успешном прохождении этого ответственного мероприятия. С этой целью ASV-сканирование разделяется на несколько этапов. На первом этапе заказчик и его сетевая инфраструктура готовятся к проведению сканирования.

На втором этапе ARinteg проверяет возможное наличие уязвимостей, используя собственное сертифицированное решение для ASV-сканирования.

КАКОЙ ДОКУМЕНТ ВЫДАЕТСЯ ПО ИТОГАМ ПРОВЕРКИ?

По результатам ASV-сканирования формируется отчет о соответствии требованиям стандарта PCI DSS и вырабатываются рекомендации по дальнейшему выполнению требований стандарта. Следует подчеркнуть, что в отчете указываются как подтвержденные, так и потенциальные уязвимости. В случае выявления недопустимых уязвимостей критичностью выше 4-го уровня (CVE) заказчик может оспорить их справедливость, предоставив подтверждения ложного срабатывания сканера.

При обнаружении средств удаленного доступа, POS-терминалов или иных механизмов приема платежей, возможности листинга директорий, потребуется обоснование необходимости и защищенности применяемых решений.

Специалисты нашей компании в случае необходимости могут более подробно рассказать о преимуществах ASV-сканирования от ARinteg.

 

Текст: Дмитрий Слободенюк, коммерческий директор компании ARinteg

  • Currently 1/10

Всего проголосовало: 1

1.0

Поделиться:

Комментировать могут только зарегистрированные пользователи

Новости банков и компаний

В ОТР приступил к работе робот Алекс
Банк ТКБ стал победителем Национальной банковской премии 2019
Новикомбанк поддерживает производство новейших оптико-электронных приборов
Лояльность клиентов и голосовые решения BSS на FinMachine-2019

Календарь мероприятий

Декабрь, 2019
««
«
Сегодня
»
»»
Пн Вт Ср Чт Пт Сб Вс
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31
Ближайшие мероприятия