„Vor einigen Tagen erhielten wir erneut die weltweite Akkreditierung als Approved Scanning Vendor (ASV) mit unserer usd PCI DSS Plattform und unseren ASV Scanning Services,“ freut sich Andreas Duchmann, Vorstand der usd AG. „Damit haben wir bereits seit 16 Jahren durchgängig die internationale Qualifikation zum ASV erfolgreich bestanden. Das ist ein wichtiger Nachweis unserer Kompetenz und Qualität in der Durchführung von automatisierten, technischen Schwachstellen-Scans.“
Im Rahmen ihrer PCI DSS Zertifizierung müssen Unternehmen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, ihre betroffenen IT-Systeme quartalsweise mit einem externen Scan auf Schwachstellen überprüfen. Diese Scans dürfen nur von einem ASV durchgeführt werden, der vom PCI Security Standards Council (PCI SSC) überprüft, akkreditiert und auf der offiziellen Liste zugelassener Scanning-Anbieter aufgeführt ist; Ergebnisse nicht akkreditierter Anbieter werden durch das PCI SSC tatsächlich aberkannt.
Akkreditierung erfolgt jährlich
Alle ASV-Organisationen müssen jährlich eine erneute Akkreditierung beim PCI SSC durchlaufen. Dabei müssen entsprechende Anbieter die Anforderungen aus den Qualification Requirements for Approved Scanning Vendors erfüllen oder sogar übertreffen. Die Überprüfung basiert auf einem strukturierten transparenten Prozess und fordert unter anderem die Teilnahme an erforderlichen Trainingseinheiten, eine Prüfung der ASV-Mitarbeiter und vor allem ein erfolgreiches Testergebnis beim ASV Lab Scan Test des PCI SSC.
Scan-Lösung wird auf Herz und Nieren getestet
Stephan Neumann, Head of usd HeroLab, der die Akkreditierung der Scan-Lösung begleitete, berichtet: „Bei der Überprüfung der Scan-Lösung werden nicht nur Prozesse und Organisationen betrachtet. Unsere usd PCI DSS Plattform wurde im ASV-Validierungslabor des PCI SSC im Rahmen einer, der Realität nachempfundenen, Schwachstellenanalyse getestet. Es handelt sich dabei um simulierte Netzwerkumgebungen mit verwundbaren Hosts und Netzwerkgeräten, in denen die Scan-Lösung innerhalb eines Tages alle technischen Schwachstellen erkennen, identifizieren und melden muss. Teilweise sind es komplexe Schwachstellen, die nur mit den besten Werkzeugen basierend auf langjähriger Erfahrung gefunden werden können.“
Dieser ASV Lab Scan Test überprüft, ob die eingereichte Scan-Lösung den aktuellen technischen Anforderungen entspricht: alle Schwachstellen müssen identifiziert, korrekt bewertet und im Scantestbericht adäquat dokumentiert werden. Nur so kann sichergestellt werden, dass später tatsächliche Bedrohungen bei den Kunden richtig identifiziert werden.
Der Faktor Qualität
Eine weitere wichtige Anforderung im Rahmen der Akkreditierung ist die Überprüfung des Qualitätssicherungsprozesses. Dieser Prozess stellt sicher, dass folgende Schritte einhalten werden, bevor ein Scanbericht an den Kunden übermittelt wird: Die ASV-Scanergebnisse werden auf Inkonsistenzen analysiert, falsch-positive Ergebnisse werden verifiziert, die Berichtsbestätigungen werden aufgezeichnet und der endgültige Bericht überprüft.
„Wir setzen hohe Qualitätsansprüche an unsere PCI DSS Plattform und entwickeln sie stetig weiter. Bei der Auswahl unserer Kolleginnen und Kollegen, die für die ASV-Scans verantwortlich sind, legen wir zudem Wert auf Erfahrung in manuellen Sicherheitsanalysen. So können sie die Scanergebnisse qualitativ bewerten und unsere Kunden bestmöglich beraten.“ schildert Andreas Duchmann.
Wünschen Sie sich Unterstützung im Rahmen Ihrer PCI DSS Zertifizierung? Sprechen Sie uns einfach an.