Eine ASV-Prüfung (Approved Scanning Vendor) ist eine vierteljährliche Sicherheitsüberprüfung Ihrer Zahlungssysteme, um sicherzustellen, dass diese den DSS entsprechen. Dabei werden Schwachstellen in Ihrem Netzwerk identifiziert, die die Daten von Karteninhabern gefährden könnten. Diese Überprüfungen müssen von einem Anbieter durchgeführt werden, der vom PCI Security Standards Council zertifiziert ist.
Ihr Unternehmen muss sich ASV-Scans unterziehen, wenn es Kartenzahlungen über E-Commerce-Websites, über das Internet zugängliche Zahlungsanwendungen oder andere Systeme verarbeitet, bei denen Kartendaten möglicherweise von außerhalb Ihres Netzwerks abgerufen werden können.
PCI DSS .0, März 2022 – Anforderung 11.3.2.1
(Obligatorisch für alle Unternehmen mit internetfähigen Systemen)
„Externe Schwachstellenscans müssen vierteljährlich von einem zugelassenen Scanning-Anbieter (ASV) durchgeführt werden, sowie
nach jeder wesentlichen Änderung für alle Systemkomponenten, die öffentlich zugänglich sind oder Zugriff
auf die Karteninhaberdatenumgebung bieten könnten.“
— PCI Security Standards Council (PCI
SSC)
Leitfaden für zugelassene Scanning-Anbieter, Version 4.0
(Stellt ausdrücklich klar, dass die ASV-Anforderungen über E-Commerce-Händler hinausgehen)
„Alle mit dem Internet verbundenen IP-Adressen müssen gescannt werden, unabhängig davon, ob das System E-Commerce- oder Kartentransaktionen verarbeitet, wenn sie Teil der Karteninhaberdatenumgebung sind oder einen Pfad zu dieser bereitstellen.
“
— PCI Security Standards Council (PCI
SSC)
PCI SSC Knowledge Base – FAQ #1233
(Bekräftigt, dass auch Händler, die keinen E-Commerce betreiben, denselben Scan-Anforderungen unterliegen)
„Externe Schwachstellen-Scans sind für alle mit dem Internet verbundenen Systeme erforderlich
, die die Sicherheit von Karteninhaberdaten beeinträchtigen könnten. Dies gilt
unabhängig davon, ob Sie Transaktionen online oder persönlich durchführen.“
— PCI Security Standards Council (PCI
SSC)
Visa DSS Program Guide
(Verstärkt die Durchsetzung der PCI DSS Prüfung durch Netzwerkmarken)
„Eine vierteljährliche ASV-Prüfung ist für alle Händler und Dienstleister mit internetfähigen IP-Adressen erforderlich,
unabhängig vom Geschäftskanal.“
— Visa
Wie funktionieren ASV-Scans?
ASV-Scans untersuchen Ihre externen Systeme, um Sicherheitslücken wie schwache Verschlüsselung, offene Ports, falsch konfigurierte Sicherheitseinstellungen und veraltete Software zu identifizieren.
Sie müssen ASV-Scans vierteljährlich oder nach wesentlichen Änderungen an Ihrer Lösung (z. B. größere Aktualisierungen Ihres Netzwerks, Ihrer Website oder Ihrer Zahlungssysteme) durchführen.
Um die Konformität zu erreichen, muss Ihr Scan ein „bestandenes“ Ergebnis liefern, ohne dass Schwachstellen mit einer Bewertung von 4,0 oder höher auf der CVSS-Skala (Common Vulnerability Scoring System) vorliegen.
Schwachstellen werden mit einer Punktzahl von 0 bis 10 bewertet:
- 0,0–3,9: Geringer Schweregrad
- 4,0 – 6,9: Mittlere Schwere
- 7,0 – 8,9: Hohe Schwere
- 9,0 – 10,0: Kritischer Schweregrad
Wenn Ihr Scan Schwachstellen mit einer Bewertung von 4,0 oder höher identifiziert, müssen Sie mit Ihrem IT-Team oder Webentwickler zusammenarbeiten, um diese Probleme zu beheben, bevor Sie einen erneuten Scan anfordern.
PCI Portal
Unser PCI Portal die Durchführung und Umsetzung der Ergebnisse von ASV-Scans und erleichtert so die Einhaltung DSS .
Erfahren Sie mehr über Portal PCI Portal Melden Sie sich beim PCI Portal an Portal
