Deutsch

English

Deutsch

English
Scanvorbereitung

Scanvorbereitung

Erfahren Sie, welche Vorbereitungen und Angaben für Ihren PCI DSS Security Scan notwendig sind.

Themenübersicht

Welche Systeme bzw. Scankomponenten müssen bei einem PCI DSS ASV Scan untersucht werden?

Im Verlaufe eines PCI DSS ASV Scans müssen alle Systeme des Händlers bzw. seines jeweiligen Service Providers, die Kreditkartendaten verarbeiten und über das Internet erreichbar sind, auf Schwachstellen hin untersucht werden. Dies betrifft insbesondere Web-Server, Mail-Server, Router, Firewalls, Applikations-Server, Datenbank-Server und Load-Balancer. Als Scankomponente zählen IP-Adressen sowie Domains. Domains können auch als virtual host angelegt werden.

Falls Sie sich unsicher sind, welche Ihrer Systeme betroffen sind, beraten wir Sie gern.

Welche technischen Voraussetzungen müssen gegeben sein, um einen ASV Scan durch die usd AG zu ermöglichen?

Folgende technische Voraussetzungen sind für die Nutzung der PCI Plattform notwendig:

  1. Stellen Sie sicher, einen aktuellen Browser (bspw. Google Chrome, Mozilla Firefox, Microsoft Edge) zu nutzen.
  2. Benutzen Sie Acrobat Reader in der aktuellsten Version.
  3. Bitte aktivieren Sie JavaScript.
  4. Außerdem empfehlen wir Ihnen die Aktivierung von Cookies.
  5. Für die Durchführung des Scans selbst sind zusätzlich Einstellungen in der aktiven Firewall (IPS/IDS) vorzunehmen, die Sie bei der Scanplanung angezeigt bekommen.

Wie plane ich einen ASV Scan?

Um einen ASV Scan planen zu können, benötigen Sie zum einen Ihre definierten Scankomponenten sowie zum anderen mindestens noch einen Scan. Gehen Sie danach wie folgt vor:

  1. Klicken Sie im Bereich "Schwachstellenscans und Services" auf "Scans & Berichte".
  2. Nutzen Sie den Button "Neuen Scan planen" (oben rechts).
  3. Wählen Sie nun "Scan planen" innerhalb der angezeigten noch verfügbaren Scans aus.
  4. Nachfolgend erhalten Sie die Eingabemaske zu Ihrer Scanplanung. Bitte beachten Sie dort unbedingt den Hinweis zu den erforderlichen Einstellungen für die aktive Firewall (IPS/IDS), so dass unsere Scan-Systeme Ihre zu scannenden Komponenten auch erreichen können.
    a) Überprüfen Sie den Liste der Scankomponenten und nehmen Sie ggf. Anpassungen vor.
    b) Lesen und bestätigen Sie die angezeigten Erklärungen.
    c) Bitte geben Sie unter "Special Notes" die Verwendung von Load Balancern sowie von POS-Software an.
    d) Unter "Scan-Profil" können Sie neben des Standard-Scans einstellen, ob der Scan in einer angepassten Geschwindigkeit durchgeführt werden soll.
    e) Geben Sie nun unter "Scan Datum" Ihren Wunschtermin (Datum und Startzeitpunkt) an. Für die Planung und Durchführung verwendet die Plattform die koordinierte Weltzeit (UTC).
    f) Schließen Sie Ihre Eingaben mit "Scan planen" ab.
  5. Ihr ASV Scan ist nun geplant und erscheint zudem unter "Scans & Berichte".

Übrigens: Mittels "Plan ändern" können Sie vor dem Startzeitpunkt Ihre Planung selbstständig anpassen.

Welchen IP-Adressbereich muss ich vor dem Scan-Prozess freischalten?

Alle Scans werden von unseren Scan-Systemen aus den folgenden IP-Adressbereichen durchgeführt:
64.39.96.1 - 64.39.111.254 (CIDR 64.39.96.0/20)

Bitte konfigurieren Sie eventuell vorhandene IDS/IPS (Intrusion Detection Systems/Intrusion Prevention Systems) so, dass unsere Scan-Systeme uneingeschränkten Zugriff auf die zu scannenden Komponenten erhalten.

Während der Durchführung eines Security Scans ist es notwendig, dass diejenigen Systeme, die die Überprüfung vornehmen, uneingeschränkten Zugriff auf die Zielsysteme erhalten. Da ein solcher Security Scan der Vorbereitung eines zielgerichteten Angriffs auf Ihre Systeme ähnelt, ist es zwingend erforderlich, Mechanismen, die der Abwehr solcher Angriffe dienen, wie z.B. Intrusion Detection, bzw. Prevention Systems (IDS/IPS), so zu konfigurieren, dass die Arbeit des Security Scanners nicht behindert wird. Alle Zugriffe, die die usd AG im Rahmen solcher Security Scans auf Ihre Systeme unternimmt, stammen von den IP-Adressbereichen 64.39.96.1 – 64.39.111.254.

Wie läuft ein ASV Scan-Prozess ab?

Die wichtigsten Schritte in Kürze:

  1. Kunde: Scoping (Defintion des Untersuchungsbereichs durch Benennung der Scan-Komponenten)
  2. Kunde: Scanplanung (ggf. zuvor Leistungsbestellung, falls Sie keinen Scan verfügbar haben)
  3. Kunde/usd AG: Durchführung des Scans
  4. usd AG: Review der Ergebnisse und Berichterstattung an den Kunden
  5. Kunde: Ergänzende Angaben und/oder Beheben von gefundenen Schwachstellen
  6. Kunde: Planung eines Rescans (nach Bedarf)
  7. usd AG: Review der Ergebnisse und abschließende Berichterstattung
  8. Kunde: Finale Bestätigung der Angaben und Ergebnisse und damit Erreichung der PCI DSS Compliance für den ASV Scan

Bitte beachten Sie, dass dies einen beispielhaften Verlauf eines ASV Scan-Prozesses darstellt. Hierfür kann es weitere Varianten geben, die individuell auf Ihren Scan zutreffen.

Ist es möglich, den ASV Scan-Lauf vorher zu testen?

Nein, dies ist nicht möglich.

Kann ich den Zeitpunkt des ASV Scans selbst festlegen?

Ja, Sie können grundsätzlich den Zeitpunkt frei wählen und den Termin über die PCI DSS Plattform selbst festlegen. Wir empfehlen Ihnen, Ihren ASV Scan frühzeitig zu planen, damit wir die entsprechenden Ressourcen für Ihren gewünschten Termin planen halten können.

Hängen die Kosten für einen ASV Scan von der Anzahl meiner Scankomponeten (IP-Adressen/Domains) ab?

Grundsätzlich ja. Detaillierte Auskünfte über unsere Leistungen und Preise erhalten Sie auf unserer Homepage oder direkt beim usd PCI Competence Center.

Wie scannt man am besten eine Cloud-basierte Lösung?

Der Scanner benötigt eine IP-Adresse oder eine FQDN. Solange alle Systeme erreicht werden, ist es irrelevant, wo sie tatsächlich liegen.

Wie scannt man, wenn ein Loadbalancer genutzt wird? Was ist dabei zu berücksichtigen?

Um sicherzustellen, dass die Umgebung vollständig gescannt wird, muss der Loadbalancer mit dem dahinterliegenden System synchronisiert sein und alle Anfragen 1 zu 1 weiterleiten.

Können FQDNS (Fully-Qualified Domain Name) gescannt werden, bei denen sich die IP-Adresse dynamisch ändert?

Ja. Hierbei muss nur sichergestellt werden, dass sich die IP während des Scanvorgangs nicht ändert.

Können Systeme gescannt werden, bei denen Cloudfront vorgeschaltet ist?

Grundsätzlich kann jede IP-Adresse gescannt werden. Hier ist jedoch darauf zu achten, dass es keine Firewalls o.ä. gibt, die den Scan blockieren könnten.

Hilfekachel Bild

Haben Sie noch offene Fragen?

Gerne ist unser PCI Competence Center für Sie da. Nutzen Sie unser Kontaktformular, um uns Ihre Anfrage bequem und direkt zu senden. Alternativ haben Sie die Möglichkeit, uns Ihre Frage per E-Mail an pci@usd.de oder per Sprachnachricht unter der Telefonnummer +49 (0) 6102 8631-90 zu senden.