ASV tarayıcı, kuruluşun dahili ağının internet kaynaklarına bağlantı noktalarını tarayan bir yazılım ve donanım kompleksidir.
Tarama, PCI DSS standardının gerekliliklerine göre gerçekleştirilir. Böyle bir hizmeti sağlayan kuruluşlar, gerekli statüye (PCI ASV) sahip olmalıdır.
Çevrimdışı ve çevrimiçi mağazalar gibi ödeme için banka kartlarını kabul eden tüm kuruluşlar için ASV taraması zorunludur.
Çevrimdışı ve çevrimiçi mağazalar gibi ödeme için banka kartlarını kabul eden tüm kuruluşlar için ASV taraması zorunludur.
PCI DSS uyumluluğu
Tarama adımları
Tarama prosedürü şartlı olarak birkaç aşamaya ayrılır.
- Müşteri, işletmenin altyapısını taramaya hazırlar. PCI DSS standardının kapsamına giren ağ altyapısının bir bölümünü tahsis eder.
- Denetçi, belirlenen tarihte standardın gerekliliklerine göre denetim yapar. Doğrulama için sertifikalı özel ekipman kullanır.
- İşlemin sonunda müşteriye doğrulama sonuçlarına ilişkin ilgili belge sunulur. Ayrıca, güvenlik açıklarını gidermek için öneriler sunar.
Tarama prensibi
ASV tarayıcı abonelik hizmeti olarak sunulmaktadır. Müşteri, hizmet sağlayıcının web sitesine kaydolur ve hizmet seçeneklerinden birini seçer.
Bir sonraki adımda, müşteri tarama için bir program ayarlar. Kural olarak, prosedür her üç ayda bir yapılır. Sitenin IP adresi (beyazsa) veya alan adı belirtilir. Bundan sonra müşteri hizmet için ödeme yapar.
Tarayıcı, belirtilen adresleri güvenlik açıkları, risk derecesi ve PCI DSS standardında belirtilen diğer parametreler açısından kontrol eder. Güvenlik açıkları bulunursa, müşteriye riski, tehdidin kapsamını, CVSS değerlendirmesini, CVE kodunu ve sorunun nasıl çözüleceğini ayrıntılı olarak açıklayan her sorun hakkında bir rapor verilecektir.
CVSS, her bir güvenlik açığının tehlike seviyesinin değerlendirildiği açık tip bir endüstri standardıdır. CVSS puanı, tehdit düzeyine göre güvenlik açığına atanan değerdir.
CVE (Common Vulnerabilities and Exposures), tehditlerin ve güvenlik açıklarının küresel bir envanteridir. Her girişe benzersiz bir numara (CVE kodu) atanır.
Rapor 90 takvim günü için geçerlidir. Bu süre zarfında müşteri, bulunan hataları ortadan kaldırmak ve yeniden taramakla yükümlüdür. Güvenlik açıkları yoksa, bilgi sisteminin PCI DSS gerekliliklerine uygunluk sertifikası verilir.