11 abril 2011

Cambios en el programa ASV

Como había prometido el PCI Council en reiteradas ocasiones, finalmente el programa Approved Scan Vendor (ASV) ha sido modificado para incluir requerimientos de formación para empleados (al menos, dos [y al módico precio de $995/c.u BTW]) a partir del próximo 1 de junio de 2011 (ver nota de prensa en pdf).

En mi opinión, era una medida que se echaba en falta y que generaba inconsistencia con los QSA (aquí se notaba el diferente origen y enfoque de ambos programas), además de que el tema de los escaneos trimestrales se había convertido, como dice un amigo, en "el festival del humor": poca seriedad y rigurosidad y, sobre todo, poco valor añadido; un simple escaneo automático de puertos que se limitaba a contrastar vulnerabilidades típicas.

No digo que esta medida vaya a cambiarlo todo pero, al menos, abre la vía a un cambio de tendencia... ya que no establece otro tipo de condiciones en el programa que, a mi juicio, son necesarias:
  • Necesidad de validaciones por personal cualificado de cada escaneo (según la Guía del Programa, solo se habla de obligación de resolución de conflictos para vulnerabilidades con un CVSS igual o superior a 4).
  • Participación de personal formado del ASV en cada escaneo.
Desde luego, por el momento, lo que existe sin lugar a duda es una recaudación adicional por el PCI Council...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

No hay comentarios: