¿Qué es un proveedor de escaneo aprobado?

Un proveedor de escaneo aprobado (ASV) es una empresa que el PCI Security Standards Council ha certificado para realizar escaneos externos de vulnerabilidad sobre cualquier IP con cara a internet que forme parte del entorno de datos del titular de la tarjeta de un comercio. El Requisito 11.3.2 de PCI DSS exige estos escaneos al menos cada 90 días. El escaneo busca debilidades conocidas — parches faltantes, TLS débil, servicios expuestos, firewalls mal configurados — y produce un informe con un resultado de aprobado o no aprobado según criterios definidos por el PCI SSC. Si fallas, corriges lo que está roto y vuelves a escanear. Hay aproximadamente 80 ASV en el mundo, incluyendo Qualys, Rapid7, Trustwave, NCC Group y Vista InfoSec.

Un ASV no es un auditor de seguridad genérico. Es algo acotado: solo escaneo externo. Un QSA realiza la evaluación completa de PCI DSS, los escaneos internos los puedes ejecutar tú mismo bajo el Requisito 11.3.1, y una prueba de penetración anual bajo el Requisito 11.4 va mucho más profundo que cualquier cosa que haga un ASV. La mayoría de los proveedores de PCI gestionado incluyen los escaneos ASV en su servicio para que no tengas que elegir un proveedor ni perseguir plazos trimestrales — así lo gestionamos para los clientes de Paytia que usan enmascaramiento DTMF, ya que reducir lo que está en alcance también reduce lo que hay que escanear.

¿Qué es un proveedor de escaneo aprobado?

Un proveedor de escaneo aprobado, o ASV, es una empresa que ha sido certificada por el Payment Card Industry Security Standards Council (PCI SSC) para realizar escaneos externos de vulnerabilidad sobre sistemas con cara a internet. Piensa en un ASV como un inspector cualificado que revisa las cerraduras de tus puertas y ventanas digitales -- asegurándose de que no haya formas obvias de que los atacantes puedan entrar desde fuera.

Estos escaneos son un requisito central de PCI DSS. Si tu negocio acepta pagos con tarjeta y tiene cualquier sistema conectado a internet, casi seguro que necesitas escaneos ASV trimestrales para mantener el cumplimiento.

Cómo funciona el escaneo ASV

Un escaneo ASV es un proceso automatizado que sondea tus direcciones IP y dominios con cara externa en busca de vulnerabilidades conocidas. El escaneo busca cosas como software desactualizado, servidores mal configurados, puertos abiertos que deberían estar cerrados, cifrado débil y fallos de seguridad conocidos en aplicaciones web.

El proceso suele funcionar así:

• Le proporcionas al ASV una lista de tus direcciones IP externas, servidores web y dominios
• El ASV ejecuta herramientas de escaneo automatizadas contra esos objetivos
• El escaneo identifica vulnerabilidades y califica su gravedad
• Recibes un informe con lo encontrado, junto con un resultado de aprobado o no aprobado
• Si fallas, corriges los problemas y vuelves a escanear hasta aprobar

Los escaneos deben completarse al menos una vez cada 90 días, aunque muchas organizaciones los ejecutan con más frecuencia. Cada escaneo es una instantánea -- te dice si tus sistemas eran seguros en ese momento.

¿Qué hace que un ASV sea distinto de cualquier escáner?

Cualquiera puede descargar un escáner de vulnerabilidades y ejecutarlo contra un sitio web. Lo que distingue a un ASV es el proceso de certificación. El PCI SSC prueba y valida a las empresas ASV para asegurarse de que sus herramientas de escaneo cumplan con estándares específicos de precisión, exhaustividad y reportes. Solo las empresas en la lista oficial de proveedores aprobados del PCI SSC pueden proporcionar escaneos que cuenten para el cumplimiento de PCI DSS.

Esto importa porque tu banco adquirente o procesador de pagos te pedirá prueba de escaneos ASV aprobados. Un escaneo con una herramienta no aprobada no satisfará el requisito, por muy exhaustivo que sea.

Por qué los escaneos ASV importan a los negocios

El escaneo de vulnerabilidades es una de las medidas de seguridad más prácticas que puede tomar un negocio. Los sistemas con cara externa son el objetivo más común para los atacantes porque son, por definición, accesibles desde cualquier parte del mundo. Un solo servidor web sin parchear o un firewall mal configurado puede abrirles la puerta a los delincuentes.

Los escaneos ASV regulares detectan estos problemas antes que los atacantes. También crean un historial documentado de tu postura de seguridad, valioso durante auditorías de cumplimiento y en caso de un incidente de seguridad.

Para los negocios más pequeños, los escaneos ASV son a menudo la forma más rentable de demostrar que los sistemas externos se monitorean y mantienen activamente. Los escaneos son relativamente económicos y pueden completarse sin interrumpir la operación normal.

Escaneos ASV y pagos telefónicos

Si tu negocio acepta pagos por teléfono, quizás te preguntes si los escaneos ASV aplican a tus sistemas de telefonía. La respuesta depende de tu configuración. Si tus sistemas de pago telefónico se conectan a internet -- por ejemplo, un centro de contacto basado en VoIP o una terminal virtual en la web -- esos sistemas probablemente están en el alcance del escaneo ASV.

Sin embargo, si utilizas un servicio externo que maneja los datos de pago por ti, la obligación de escaneo puede trasladarse a ese proveedor. Este es uno de los beneficios clave de usar una solución de reducción de alcance para pagos telefónicos: al mantener los datos de tarjeta fuera de tus propios sistemas, reduces el número de activos que deben escanearse y la carga total de cumplimiento PCI.

Consideraciones prácticas

Hay algunas cosas que conviene saber antes de tu primer escaneo ASV:

• Los escaneos pueden activar a veces alertas de detección de intrusiones o afectar temporalmente al rendimiento del sistema, así que vale la pena programarlos en horarios de menor actividad
• Los falsos positivos son comunes -- el escaneo puede marcar como vulnerabilidad algo que en realidad no lo es en tu configuración concreta. La mayoría de los ASV tienen un proceso de disputa para estos casos
• Fallar un escaneo no es un desastre. Simplemente significa que hay trabajo que hacer. Arregla lo identificado, vuelve a escanear y documenta la remediación
• Guarda registros de todos los informes de escaneo, ya sean aprobados o no. Tu QSA o tu banco adquirente puede pedirte ver todo el historial

El escaneo ASV no es una bala de plata. Solo verifica sistemas con cara externa y solo busca vulnerabilidades conocidas. No prueba redes internas y no puede detectar todos los ataques posibles. Pero como parte de un enfoque por capas, los escaneos ASV regulares son una de las formas más directas de reducir el riesgo y demostrar la debida diligencia.

Cómo elegir un ASV

Al seleccionar un ASV, busca un proveedor que ofrezca informes claros, soporte ágil para resolver falsos positivos y un proceso sencillo de reescaneo. Algunos ASV combinan el escaneo con otros servicios de cumplimiento, lo que puede resultar útil si necesitas ayuda interpretando resultados o remediando problemas. Verifica siempre que el proveedor aparezca en la lista oficial de proveedores aprobados del PCI SSC antes de contratar sus servicios -- esta lista es pública en el sitio del PCI SSC y se actualiza con regularidad.