# Wie lange dauert der eigentliche Scan Prozess?

Die Dauer eines PCI DSS ASV Scans ist von der Anzahl und Art der auf dem Zielsystem erreichbaren Dienste abhängig. Als Richtwert benötigt der ASV Scan rund 2 Stunden pro Scankomponente (IP-Adresse bzw. Domain).

# Wie läuft ein ASV Scan-Prozess ab?

Die wichtigsten Schritte in Kürze:

  1. Kunde: Scoping (Defintion des Untersuchungsbereichs durch Benennung der Scan-Komponenten)
  2. Kunde: Scanplanung (ggf. zuvor Leistungsbestellung, falls Sie keinen Scan verfügbar haben)
  3. Kunde/usd AG: Durchführung des Scans
  4. usd AG: Review der Ergebnisse und Berichterstattung an den Kunden
  5. Kunde: Ergänzende Angaben und/oder Beheben von gefundenen Schwachstellen
  6. Kunde: Planung eines Rescans (nach Bedarf)
  7. usd AG: Review der Ergebnisse und abschließende Berichterstattung
  8. Kunde: Finale Bestätigung der Angaben und Ergebnisse und damit Erreichung der PCI DSS Compliance für den ASV Scan

Bitte beachten Sie, dass dies einen beispielhaften Verlauf eines ASV Scan-Prozesses darstellt. Hierfür kann es weitere Varianten geben, die individuell auf Ihren Scan zutreffen.

# Mein Scan wurde durchgeführt. Wann erhalte ich mein Ergebnis aus dem Review?

Nachdem Ihr Scan abgeschlossen wurde, werden die Ergebnisse an unser ASV-Team zur Prüfung (Review) übergeben. Diese Prüfung erfolgt nicht automatisch, sondern ist ein manueller und individueller Prozess. In der Regel können wir Ihnen das Ergebnis des Reviews an Werktagen innerhalb von 24 Stunden zur Verfügung stellen.

# Welche Informationen erhalte ich nach einem durchgeführten ASV Scan?

Nach Abschluss eines PCI DSS ASV Scans werden Sie per E-Mail an die von Ihnen hinterlegte Adresse über den Abschluss des Scans informiert. Danach werden die Reports im PDF-Format (ASV Scan Report Summary und ASV Scan Vulnerability Details als technischer Report) erstellt, die Sie sich von der Plattform ansehen und herunterladen können. Je nach Ergebnis Ihres Scans sind weitere Schritte für den Scan-Prozess und zur Erreichung einer PCI DSS Compliance notwendig. Über die erforderlichen Schritte werden Sie ebenfalls von uns per E-Mail informiert.

# Ich werde aufgefordert, ergänzende Angaben zu machen. Wie gehe ich vor?

  1. Loggen Sie sich auf der PCI DSS Plattform mit Ihrem Benutzernamen (E-Mail-Adresse) sowie Ihrem Passwort ein.

  2. Klicken Sie im Bereich „Schwachstellenscans & Berichte“ auf „Scans & Berichte“.

  3. Sie bekommen nun Ihre Scans in der Übersicht angezeigt. Wählen Sie in der Fußzeile Ihres aktuellsten Scans die Aktion "Scan Ergebnis prüfen“ aus. Unter "Scan Details" finden Sie die Zusammenfassung zum Scanverlauf.

  4. Vervollständigen Sie auf den Folgeseiten die dort von Ihnen geforderten Angaben. Wichtig: Ihre Kommentare müssen in englischer Sprache verfasst sein.

Diese Angaben sind möglich:

  • Geben Sie an, weshalb einige Ihrer Scankomponenten nicht erreichbar waren.
  • Fügen Sie unter "Ergänzende Angaben" pro Zeile die ausstehenden Informationen hinzu bzw. beantworten Sie die dort hinterlegten Fragen. Die Punkte "Result", "Consequence", "Diagnosis" und "Solution" geben Ihnen dabei weitere Infos und Lösungsansätze.
  • Sollten Schwachstellen gefunden worden sein und Sie diese als False-Positives angeben wollen, können Sie Ihre Kommentare mittels Chatfunktion in der Ansicht "Schwachstellen" hinterlegen. Hinweis: Sollten die Schwachstellen keine False-Positives sein, sind die Schwachstellen zu schließen und dann mit einem Rescan erneut zu überprüfen.
  1. Speichern und übermitteln Sie uns mit "Zum ASV Review abgeben" abschließend Ihre Angaben.

# Ich werde aufgefordert, die Angaben zum durchgeführten ASV Scan zu bestätigen. Wie gehe ich vor?

Um Ihnen den offiziellen ASV Scan Report mit dem Status „compliant“ zur Verfügung stellen zu können, ist eine finale (formale) Bestätigung Ihrer Angaben zum Scope (Untersuchungsbereich) des Scans notwendig.

So gehen Sie nun vor:

  1. Loggen Sie sich auf der PCI DSS Plattform mit Ihrem Benutzernamen (E-Mail-Adresse) sowie Ihrem Passwort ein.
  2. Klicken Sie im Bereich „Schwachstellenscans & Berichte“ auf „Scans & Berichte“.
  3. Wählen Sie den Button „Scan bestätigen“ und beantworten Sie die dort aufgeführten Fragen.

Bitte beachten Sie: Erst nach der Bestätigung Ihrer Angaben erhalten Sie den finalen Status Ihres PCI DSS ASV Scans inklusive der Download-Möglichkeit Ihrer Dokumente. Dies finden Sie anschließend im Bereich „Schwachstellenscans & Berichte“ unter „Scans & Berichte“.

# Was geschieht, wenn ein ASV Scan nicht erfolgreich verlaufen ist?

In diesem Falle informieren wir Sie per E-Mail über den nicht erfolgreichen Scanverlauf. Wir geben Ihnen in den erstellten PDF-Reports Empfehlungen, wie in die Konfiguration Ihrer Systeme eingegriffen werden sollte, um ein erfolgreiches Scan-Ergebnis zu ermöglichen. Nachdem Sie entsprechende Maßnahmen umgesetzt haben, kann ein Rescan (wiederholter Scan) geplant werden, der alle für den Scan angegebenen Scankomponenten erneut untersucht. Dadurch wird geprüft, ob nun insgesamt ein erfolgreiches Ergebnis erzielt werden kann.

# Entstehen für einen Rescan (wiederholten Scan), nachdem ich die Sicherheitslücken in meinem System geschlossen habe, zusätzliche Kosten?

Bei einem Scan-Ergebnis mit "fail" haben Sie die Möglichkeit, innerhalb von vier Wochen unbegrenzt kostenlose Rescans Ihrer Scankomponenten durchzuführen. Sollten Sie die gefundenen Schwachstellen nicht geschlossen haben und den Rescan durchführen, würde das Ergebnis wieder als "fail" bewertet werden. Daher kann ein Rescan nur dann geplant werden, wenn die gefundenen Schwachstellen von Ihnen auch beseitigt wurden.

# Wie plane ich einen Rescan?

Um einen Rescan zu planen, nutzen Sie den Button "Rescan", der sich innerhalb Ihrer Scan-Übersicht im Menüpunkt "Scans & Berichte" befindet.

Der Rescan kann nur geplant werden, wenn Sie folgende Aussagen bestätigen können:

  1. Die im aktuellen Scan auf Ihren Systemen gefundenen Schwachstellen wurden behoben.
  2. Der Review des aktuellen Scans soll abgebrochen und damit automatisch als "non-compliant" bewertet werden.

# Ich möchte einen Rescan mit geändertem Scope durchführen: Wie geht das?

Rescans können nur für den Scope des ursprünglichen Scans von Ihnen geplant werden. Bei einem Rescan mit angepasstem Scope wenden Sie sich bitte an das PCI Comptence Center (pci@usd.de).

# Wir können unseren Scan aufgrund von internen Vorgängen, die noch in Klärung sind, nicht abschließen. Was können wir tun, um den Scan rechtzeitig compliant abzuschließen?

Damit der Scan als "compliant" bewertet werden kann, müssen alle offenen Punkte bearbeitet werden. Bei möglichen Schwachstellen ist entweder ein False-Positive zu begründen oder die Schwachstelle zu beheben und neu zu scannen. Bei den ergänzenden Angaben muss der Sachverhalt ebenfalls begründet oder mitigiert werden.

# Es gehen noch Verbindungen auf Port 80 ein, obwohl die Scankomponenten speziell auf Port 443 eingestellt sind. Die auf Port 80 eingehenden Verbindungen, werden jedoch automatisch an Port 443 weitergeleitet.

Da es sich um einen vollständigen Portscan handelt, wird jeder einzelne Port gescannt. Die Port 80/443-Einstellungen gelten nur für die virtuellen Hosts.

hilfe kachel bild

Haben Sie noch offene Fragen?

Gerne ist unser PCI Competence Center für Sie da. Nutzen Sie unser Kontaktformular, um uns Ihre Anfrage bequem und direkt zu senden. Alternativ haben Sie die Möglichkeit, uns Ihre Frage per E-Mail an pci@usd.de oder per Sprachnachricht unter der Telefonnummer +49 (0) 6102 8631-90 zu senden.