Wat zijn scans van goedgekeurde scanleveranciers (ASV)? – Trust Payments

Een Approved Scanning Vendor (ASV)-controle is een driemaandelijkse beveiligingsscan van uw betalingssystemen om te controleren of deze voldoen DSS . Hiermee worden kwetsbaarheden in uw netwerk geïdentificeerd die de gegevens van kaarthouders in gevaar kunnen brengen. Deze scans moeten worden uitgevoerd door een leverancier die is gecertificeerd door de PCI Security Standards Council.

Uw bedrijf moet ASV-scans ondergaan als het kaartbetalingen verwerkt via e-commerce websites, betaalapplicaties die via internet toegankelijk zijn, of elk systeem waarbij kaartgegevens mogelijk van buiten uw netwerk kunnen worden geraadpleegd.

Ondersteunend bewijs

PCI DSS .0, maart 2022 – Vereiste 11.3.2.1
(Verplicht voor alle entiteiten met systemen die in contact staan met het internet)
"Externe kwetsbaarheidsscans moeten elk kwartaal worden uitgevoerd door een erkende scanningleverancier (ASV) en na elke belangrijke wijziging, voor alle systeemcomponenten die in contact staan met het publiek of die toegang kunnen bieden tot de omgeving met kaartgegevens."
— PCI Security Standards Council (PCI SSC)

Goedgekeurde handleiding voor scanleveranciers, v4.0
(Verduidelijkt expliciet dat de ASV-vereiste verder gaat dan e-commercebedrijven)
"Alle IP-adressen die in contact staan met het internet moeten worden gescand, ongeacht of het systeem e-commerce- of kaarttransacties verwerkt, als ze deel uitmaken van of toegang bieden tot de kaartgegevensomgeving ."
— PCI Security Standards Council (PCI SSC)

PCI SSC Knowledge Base – FAQ #1233
(Bevestigt dat niet-e-commercebedrijven onderworpen zijn aan dezelfde scanvereisten)
"Externe kwetsbaarheidsscans zijn vereist voor elk systeem dat in contact staat met het internet en dat de veiligheid van kaartgegevens kan beïnvloeden. Dit geldt ongeacht of u transacties online of persoonlijk uitvoert."
— PCI Security Standards Council (PCI SSC)

Visa DSS Program Guide
(Versterkt de handhaving van het netwerkmerk van PCI DSS )
"Driemaandelijkse ASV-scanning is vereist voor alle handelaren en dienstverleners met internet-IP-adressen, ongeacht het zakelijke kanaal."
— Visa

Als u alleen alternatieve betaalmethoden (APM's) gebruikt, zoals PayPal, Apple Pay Google Pay de gegevens van de kaarthouder nooit in uw systemen terechtkomen, hebt u mogelijk geen ASV-scans nodig. Als u echter rechtstreeks kaartbetalingen verwerkt, zelfs naast APM's, moet u de scans toch uitvoeren. Als u twijfelt, raden we u aan contact met ons op te nemen voor hulp via trustpayments.

Hoe werken ASV-scans?

ASV-scans onderzoeken uw externe systemen om beveiligingskwetsbaarheden te identificeren, zoals zwakke versleuteling, open poorten, verkeerd geconfigureerde beveiligingsinstellingen en verouderde software.

U moet ASV-scans elk kwartaal uitvoeren of na elke belangrijke wijziging aan uw oplossing (bijvoorbeeld grote updates aan uw netwerk, website of betalingssystemen).

Om aan de vereisten te voldoen, moet uw scan een 'geslaagd' resultaat opleveren zonder kwetsbaarheden met een score van 4,0 of hoger op de Common Vulnerability Scoring System (CVSS)-schaal.

Kwetsbaarheden worden beoordeeld op een schaal van 0 tot 10:

0,0 - 3,9: Lage ernst
4,0 - 6,9: Matige ernst
7,0 - 8,9: Ernstig
9,0 - 10,0: Kritieke ernst

Als uw scan kwetsbaarheden met een score van 4,0 of hoger identificeert, moet u samenwerken met uw IT-team of webontwikkelaar om deze problemen op te lossen voordat u een nieuwe scan aanvraagt.

PCI Portal

Ons Portal het proces van het uitvoeren en implementeren van de resultaten van ASV-scans, waardoor het gemakkelijker wordt om te zorgen dat DSS wordt gehandhaafd.

Meer informatie over PCI Portal Aanmelden bij PCI Portal