Uudet PCI ASV -vaatimukset astuneet voimaan
Kommentoi
Monet asiakkaamme, joille suoritamme PCI-skannauksia ASV:n (Approved Scanning Vendor) ominaisuudessa, ovat kesän jälkeen huomanneet kiristyneet vaatimukset löytyneiden haavoittuvuuksien luokittelussa.
Kesän aikana astui voimaan muutamia uusia vaatimuksia. Suuri muutos oli, että kaikki haavoittuvuudet, joiden CVSS-arvo (Common Vulnerability Scoring System) on suurempi kuin 4.0, vaativat korjauksen hyväksytyn tuloksen saamiseksi. Aikaisemmin arvioinnin pohjana käytettiin vapaampaa tulkintaa. Toisaalta, uusissa vaatimuksissa palvelunestohaavoittuvuuksien korjaamista ei enää vaadita. Tässä perusteena on se, että pelkällä palvelunestohyökkäyksellä PCI:n alainen luottokorttitieto ei vaarannu, vaan vaikutukset kohdistuvat lähinnä yksittäisten toimijoiden palvelunlaatuun.
Tyypillisiä suurinta osaa organisaatioista koskevia korjattavaksi muuttuneita puutteita ovat esimerkiksi heikot SSL-salausmenetelmät. Näiden käyttö nykyselaimilla on erittäin epätodennäköistä. On silti mahdollista, että käyttäjä muodostaa heikosti salatun yhteyden, mikä vaarantaa liikenteen luottamuksellisuuden.
PCI Council vaatii hyväksyttyjä ASV-toimijoita testaamaan vuosittain oman skannausratkaisunsa heidän osoittamaansa testijärjestelmää vastaan. Testiympäristö muuttuu vuosittain, ja sisältää kattavan otoksen erilaisia haavoittuvia ohjelmistoversioita ja käyttöjärjestelmiä. Tällä menettelyllä varmistetaan, että kaikki ASV-toimijoiden ratkaisut vastaavat yhteismitallisesti PCI:n vaatimuksia sekä havaintojen määrän että raportin ulkoasun suhteen.
Nixun SecBase PCI -skannausratkaisu on jälleen tänä syksynä testattu onnistuneesti jo kolmannen kerran, ja hyväksytty taas vuodeksi eteenpäin.
blogi