Was bedeutet ASV bzw. ASV Scan?

ASV steht für „Approved Scanning Vendor“, also ein vom PCI Security Standards Council anerkannter Anbieter für Schwachstellen-Scans. Nur diese Anbieter – wie die usd AG – dürfen externe Schwachstellen-Scans (ASV Scans) zur Überprüfung und Bewertung Ihrer PCI DSS Compliance durchführen.
Ein ASV Scan überprüft auf externe Schwachstellen Ihrer öffentlich erreichbaren IT-Systeme wie Websites, Anwendungen oder andere Infrastruktur-Komponenten. Die Scans erfolgen über das Internet mit einer zertifizierten Lösung und entsprechen der PCI DSS Anforderung 11.3.2.

Wie funktioniert die Prüfung durch den Scanner?

Der Scanner untersucht, welche Dienste und Systeme auf der angegebenen Scankomponente (IP-Adresse oder Domain) aus dem Internet erreichbar sind. Anschließend werden diese Informationen mit einer ständig aktualisierten Datenbank bekannter Schwachstellen abgeglichen. Das Ergebnis wird Ihnen anschließend im Scanbericht detailliert aufgezeigt.

Wann müssen ASV Scans durchgeführt werden?

ASV Scans sind im Rahmen des PCI DSS verpflichtende externe Schwachstellen-Scans. Sie müssen auf alle IT-Systeme angewendet werden, die über das öffentliche Internet erreichbar sind und mindestens eine der folgenden Bedingungen erfüllen:

1. Sie nehmen Kartendaten entgegen, verarbeiten, übertragen oder speichern diese.
2. Sie sind für die Sicherheit von Kartenzahlungen direkt verantwortlich (zum Beispiel ein Webshop mit Kreditkartenzahlung).

Wie oft müssen ASV Scans durchgeführt werden?

ASV Scans müssen alle 90 Tage durchgeführt werden, sofern Sie zur regelmäßigen Durchführung verpflichtet sind. Abweichende Intervalle können je nach Vorgabe Ihrer Bank oder Ihres Payment Service Providers erforderlich sein. Weiterhin kann jede wesentliche Änderung an der öffentlich erreichbaren Systemlandschaft, die die Sicherheit beeinflussen könnte, einen neuen ASV Scan erforderlich machen. Im Zweifel empfiehlt es sich, Rücksprache mit Ihrem ASV zu halten, kontaktieren Sie uns gerne unter pci@usd.de.

Welche Systeme müssen bei einem ASV Scan geprüft werden?

ASV Scans betreffen alle öffentlichen Systeme im PCI DSS Kontext, darunter fallen z.B.:

• Web-Anwendungen, Datenbanken, Mailserver, Proxys, NTP oder DNS Server
• Virtuelle Server/Router/Desktops/Hypervisors
• Cloud Infrastruktur
• Drucker, Fax-Geräte
• Tools, Code Repositories, ...

Falls Sie unsicher sind, kontaktieren Sie uns gerne unter pci@usd.de.

Was sind Scankomponenten?

Im Zusammenhang mit ASV Scans bezeichnet der Begriff „Scankomponenten“ die IT-Systeme, die im Rahmen des ASV Scans auf Sicherheit überprüft werden sollen. Diese Komponenten müssen vor dem Start des Scans festgelegt werden. Dabei handelt es sich in der Regel um Domains/FQDNs oder IP-Adressen der zu prüfenden Systeme.

Beachten Sie bitte: Konkrete Unterpfade können nicht angegeben werden, da hier immer das gesamte zugrundeliegende System untersucht wird.

Wie läuft der ASV Scan-Prozess ab?

Die wichtigsten Schritte im Überblick:

1. Kunde: Scoping (Festlegung des Untersuchungsbereichs und Benennung der Scankomponenten)
2. Kunde: Scanplanung (ggf. vorher Bestellung eines Scan-Kontingents, falls noch kein Scan verfügbar ist)
3. Kunde / usd AG: Durchführung des Scans
4. usd AG: Benachrichtigung über die Bereitstellung des Scan-Ergebnisses
5. Kunde: Ergänzende Angaben machen und/oder Behebung gefundener Schwachstellen veranlassen
6. Kunde: Gegebenenfalls Planung eines Rescans
7. usd AG: Überprüfung der Ergebnisse und abschließende Berichterstattung
8. Kunde: Finale Bestätigung der Angaben und Scan-Ergebnisse – damit erreichen Sie die PCI DSS Compliance für den ASV Scan

Bitte beachten Sie, dass dies ein beispielhafter Ablauf ist. Je nach Situation können Abweichungen und speziell auf Ihr Unternehmen zugeschnittene Prozesse möglich sein.

Wie unterscheiden sich ASV Scans von anderen externen Schwachstellen-Scans?

Der größte Unterschied besteht darin, dass bei ASV Scans nicht nur das bloße Durchführen des Scans ausreicht, um die Sicherheit der betroffenen IT-Systeme zu bewerten. Die Ergebnisse müssen sorgfältig geprüft und – falls erforderlich – Maßnahmen zur Behebung identifizierter Schwachstellen umgesetzt werden. Das kann bedeuten, dass Schwachstellen beseitigt oder bestimmte Funde kommentiert werden müssen.

Dieser Prozess erfordert in der Regel die enge Zusammenarbeit mit den technischen Administratoren der jeweiligen IT-Systeme. Es wird daher empfohlen, dass der technische Administrator den gesamten Ablauf eines ASV Scans – von der Planung bis zur finalen Freigabe durch den ASV – begleitet.

Wenn Sie Interesse an einem externen oder internen Schwachstellen-Scan haben, sprechen Sie uns gerne an.

Wir mussten bisher keine ASV Scans durchführen. Was hat sich geändert?

Es gibt verschiedene Gründe, warum jetzt ein ASV Scan erforderlich ist, zum Beispiel:

• Geänderte Abwicklungsprozesse: Ihre Zahlungsabwicklung wurde angepasst.
• Umstellung des SAQ-Typs: Ihr neuer Selbstauskunftsfragebogen (SAQ) fordert einen ASV Scan oder die Angaben zur externen Erreichbarkeit wurden geändert.
• Anpassungen im PCI-Standard: Der PCI Standard wurde überarbeitet, sodass für Ihren spezifischen Abwicklungsprozess jetzt zusätzliche Sicherheitskontrollen wie ASV Scans erforderlich sind.
• Bank- oder Acquirer-Anforderungen: Bislang hat Ihre Händlerbank (Acquirer) bzw. Ihr Payment Facilitator aus risikobasierten Gründen keinen ASV Scan verlangt. Die Gründe hierfür können vielfältig sein. Für weitere Informationen wenden Sie sich bitte direkt an Ihren Vertragspartner.