Welche Systeme bzw. Scankomponenten müssen bei einem ASV Scan untersucht werden?

Im Verlaufe eines ASV Scans müssen alle Systeme des Händlers bzw. seines jeweiligen Service Providers, die Kreditkartendaten verarbeiten und über das Internet erreichbar sind, auf Schwachstellen hin untersucht werden. Dies betrifft insbesondere Web-Server, Mail-Server, Router, Firewalls, Applikations-Server, Datenbank-Server und Load-Balancer. Als Scankomponente zählen IP-Adressen sowie Domains. Domains können auch als virtual host angelegt werden.

Falls Sie sich unsicher sind, welche Ihrer Systeme betroffen sind, beraten wir Sie gern.

Welche technischen Voraussetzungen müssen gegeben sein, um einen ASV Scan durch die usd AG zu ermöglichen?

Folgende technische Voraussetzungen sind für die Nutzung der PCI Plattform notwendig:

1. Stellen Sie sicher, einen aktuellen Browser (bspw. Google Chrome, Mozilla Firefox, Microsoft Edge) zu nutzen.
2. Benutzen Sie Acrobat Reader in der aktuellsten Version.
3. Bitte aktivieren Sie JavaScript.
4. Außerdem empfehlen wir Ihnen die Aktivierung von Cookies.
5. Für die Durchführung des Scans selbst sind zusätzlich Einstellungen in der aktiven Firewall (IPS/IDS) vorzunehmen, die Sie bei der Scanplanung angezeigt bekommen.

Wie plane ich einen ASV Scan?

Um einen ASV Scan planen zu können, benötigen Sie zum einen Ihre definierten Scankomponenten sowie mindestens einen verfügbaren Scan mit der für den Scan ausreichenden Anzahl an Scankomponenten:

1. Um Scankomponenten zu hinterlegen, klicken Sie im Menü auf der linken Seite auf "ASV Scans" und dann auf den Unterpunkt "Scankomponenten".
2. Nach Eingabe der Scankomponenten klicken Sie auf "weiter" oder gehen Sie über das Menü wieder auf den Unterpunkt "Scanprojekte".
3. Wählen Sie oben im Header "Neuen Scan planen". Sofern Sie noch kein Scankontingent freigeschaltet haben, gilt es das jetzt nachzuholen.
4. Liegt bereits ein Kontingent vor, planen Sie jetzt bitte den Scan unter Angabe der notwendigen Informationen zum Load Balancer und möglich eingesetzter Point-of-Sale Software. Achten Sie bitte darauf, alle Kommentarfelder und Angaben zu hinterlegen, um die Scanplanung abschließen zu können.
5. Legen Sie weiter bitte den Starttermin für den Scan fest. Beachten Sie bitte, Datum und Uhrzeit werden in UTC geplant.
6. Zudem ist es dringend notwendig,vor dem Scanstart bei dem Hoster bzw. zuständigen Administrator die Freischaltung des IP-Adressenbereichs zu veranlassen.
7. Nach Abschluss der Planung können Sie den Status des Scans im Bereich "Scanprojekte" einsehen.

Übrigens: Mittels "Plan ändern" können Sie vor dem Startzeitpunkt Ihre Planung selbstständig anpassen.

Welchen IP-Adressbereich muss ich vor dem Scan-Prozess freischalten?

Alle Scans werden von unseren Scan-Systemen aus den folgenden IP-Adressbereichen durchgeführt:

64.39.96.1 - 64.39.111.254 (CIDR 64.39.96.0/20)
139.87.112.1 - 139.87.113.254 (CIDR 139.87.112.0/23) NEU

Bitte konfigurieren Sie eventuell vorhandene IDS/IPS (Intrusion Detection Systems/Intrusion Prevention Systems) so, dass unsere Scan-Systeme uneingeschränkten Zugriff auf die zu scannenden Komponenten erhalten.

Während der Durchführung eines Security Scans ist es notwendig, dass diejenigen Systeme, die die Überprüfung vornehmen, uneingeschränkten Zugriff auf die Zielsysteme erhalten. Da ein solcher Security Scan der Vorbereitung eines zielgerichteten Angriffs auf Ihre Systeme ähnelt, ist es zwingend erforderlich, Mechanismen, die der Abwehr solcher Angriffe dienen, wie z.B. Intrusion Detection, bzw. Prevention Systems (IDS/IPS), so zu konfigurieren, dass die Arbeit des Security Scanners nicht behindert wird. Alle Zugriffe, die die usd AG im Rahmen solcher Security Scans auf Ihre Systeme unternimmt, stammen von den IP-Adressbereichen 64.39.96.1 – 64.39.111.254 und 139.87.112.1 - 139.87.113.254.

Wie läuft ein ASV Scan-Prozess ab?

Die wichtigsten Schritte in Kürze:

1. Kunde: Scoping (Defintion des Untersuchungsbereichs durch Benennung der Scan-Komponenten)
2. Kunde: Scanplanung (ggf. zuvor Leistungsbestellung, falls Sie keinen Scan verfügbar haben)
3. Kunde/usd AG: Durchführung des Scans
4. usd AG: Review der Ergebnisse und Berichterstattung an den Kunden
5. Kunde: Ergänzende Angaben und/oder Beheben von gefundenen Schwachstellen
6. Kunde: Planung eines Rescans (nach Bedarf)
7. usd AG: Review der Ergebnisse und abschließende Berichterstattung
8. Kunde: Finale Bestätigung der Angaben und Ergebnisse und damit Erreichung der PCI DSS Compliance für den ASV Scan

Bitte beachten Sie, dass dies einen beispielhaften Verlauf eines ASV Scan-Prozesses darstellt. Hierfür kann es weitere Varianten geben, die individuell auf Ihren Scan zutreffen.

Ist es möglich, den ASV Scan-Lauf vorher zu testen?

Nein, dies ist nicht möglich.

Kann ich den Zeitpunkt des ASV Scans selbst festlegen?

Ja, Sie können grundsätzlich den Zeitpunkt frei wählen und den Termin über die PCI DSS Plattform selbst festlegen. Wir empfehlen Ihnen, Ihren ASV Scan frühzeitig zu planen, damit wir die entsprechenden Ressourcen für Ihren gewünschten Termin planen halten können.

Hängen die Kosten für einen ASV Scan von der Anzahl meiner Scankomponeten (IP-Adressen/Domains) ab?

Grundsätzlich ja. Detaillierte Auskünfte über unsere Leistungen und Preise erhalten Sie auf unserer Homepage oder direkt beim usd PCI Competence Center.

Wie scannt man am besten eine Cloud-basierte Lösung?

Der Scanner benötigt eine IP-Adresse oder eine FQDN. Solange alle Systeme erreicht werden, ist es irrelevant, wo sie tatsächlich liegen.

Wie scannt man, wenn ein Loadbalancer genutzt wird? Was ist dabei zu berücksichtigen?

Um sicherzustellen, dass die Umgebung vollständig gescannt wird, muss der Loadbalancer mit dem dahinterliegenden System synchronisiert sein und alle Anfragen 1 zu 1 weiterleiten.

Können FQDNS (Fully-Qualified Domain Name) gescannt werden, bei denen sich die IP-Adresse dynamisch ändert?

Ja. Hierbei muss nur sichergestellt werden, dass sich die IP während des Scanvorgangs nicht ändert.

Können Systeme gescannt werden, bei denen Cloudfront vorgeschaltet ist?

Grundsätzlich kann jede IP-Adresse gescannt werden. Hier ist jedoch darauf zu achten, dass es keine Firewalls o.ä. gibt, die den Scan blockieren könnten.