Международные платежные системы предъявляют особые требования к уровню безопасности транзакций. Своевременно установить различного рода уязвимости и некорректные конфигурации сетевой инфраструктуры позволяет процедура ASV-сканирования. О том, для каких целей служит данная проверка, рассказывают специалисты компании ARinteg – одного из ведущих российских системных интеграторов ИТ-безопасности, обладающего подтвержденным статусом ASV-провайдера.

ASV-СКАНИРОВАНИЕ: ЧТО ЭТО ТАКОЕ?

ASV-сканирование – это процедура ежеквартальной проверки всех точек подключения к сети интернет на наличие уязвимостей. Данная процедура разработана Советом по стандартам безопасности данных индустрии платежных карт. Это открытое глобальное сообщество, в задачи которого входят постоянная разработка, совершенствование, хранение, распространение и практическое внедрение стандартов безопасности банковских данных. Главная цель создания такого сообщества заключается в повышении безопасности данных индустрии платежных карт посредством обучения и информирования о стандартах безопасности PCI DSS. Совет создан по инициативе международных платежных систем American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa, Inc.

КТО ОБЯЗАН ПРОХОДИТЬ ПРОВЕРКУ?

Процедура ASV-сканирования на предмет соответствия требованиям международного стандарта безопасности PCI DSS распространяется на все организации, которые хранят, обрабатывают или передают данные держателей платежных карт. Отдельная градация существует в отношении сервисных компаний и процессинговых центров.

КАК ПОДТВЕРДИТЬ СООТВЕТСТВИЕ ТРЕБОВАНИЯМ СТАНДАРТА PCI DSS?

Для прохождения ASV-сканирования необходимо обратиться к специализированным поставщикам услуг, аккредитованным Советом по стандартам безопасности данных индустрии платежных карт.

Компании ARinteg статус ASV-провайдера (Approved Scanning Vendor) впервые был присвоен более трех лет назад. Ежегодно системный интегратор успешно подтверждает свой экспертный уровень. Опираясь на многолетний опыт аудита защищенности внешнего периметра и внутренних сетей, ARinteg помогает организациям финансового сектора и компаниям из других отраслей успешно проходить необходимые процедуры проверки на предмет соответствия PCI DSS.

КАК ПРОХОДИТПРОЦЕДУРА СКАНИРОВАНИЯ?

Сканирование проводится удаленно в формате выделенного технологического окна в течение 24 часов. Дату и время сканирования можно согласовать индивидуально.

НЕОБХОДИМО ЛИ ЗАРАНЕЕ ГОТОВИТЬСЯ К ПРОВЕРКЕ?

На время проведения проверки обязательным требованием стандарта PCI DSS является отключение (переключение в режим мониторинга) средств активной защиты, основанных на поведенческом анализе (IPS, WAF).

В случае использования балансировщиков трафика требуется подтверждение синхронизации сетевых потоков. Процедура ASV-сканирования абсолютно безопасна и не влияет на производительность сетевой инфраструктуры.

ЧТО ПРОИСХОДИТ ВО ВРЕМЯ СКАНИРОВАНИЯ?

В рамках тестирования определяется наличие доступных IP-адресов из списка, предоставленного заказчиком, проводится сканирование всего диапазона TCP-портов и стандартных UDP-портов.

Осуществляется попытка точной идентификации используемых версий операционных систем и запущенных сервисов вне зависимости от используемых платформ.

ЭТАПЫ ASV-СКАНИРОВАНИЯ

Главное отличие услуг ARinteg – комплексный подход к ASV-сканированию и содействие заказчику в успешном прохождении этого ответственного мероприятия. С этой целью ASV-сканирование разделяется на несколько этапов. На первом этапе заказчик и его сетевая инфраструктура готовятся к проведению сканирования.

На втором этапе ARinteg проверяет возможное наличие уязвимостей, используя собственное сертифицированное решение для ASV-сканирования.

КАКОЙ ДОКУМЕНТ ВЫДАЕТСЯ ПО ИТОГАМ ПРОВЕРКИ?

По результатам ASV-сканирования формируется отчет о соответствии требованиям стандарта PCI DSS и вырабатываются рекомендации по дальнейшему выполнению требований стандарта. Следует подчеркнуть, что в отчете указываются как подтвержденные, так и потенциальные уязвимости. В случае выявления недопустимых уязвимостей критичностью выше 4-го уровня (CVE) заказчик может оспорить их справедливость, предоставив подтверждения ложного срабатывания сканера.

При обнаружении средств удаленного доступа, POS-терминалов или иных механизмов приема платежей, возможности листинга директорий, потребуется обоснование необходимости и защищенности применяемых решений.

Специалисты нашей компании в случае необходимости могут более подробно рассказать о преимуществах ASV-сканирования от ARinteg.

 

Текст: Дмитрий Слободенюк, коммерческий директор компании ARinteg