Como había prometido el PCI Council en reiteradas ocasiones, finalmente el programa Approved Scan Vendor (ASV) ha sido modificado para incluir requerimientos de formación para empleados (al menos, dos [y al módico precio de $995/c.u BTW]) a partir del próximo 1 de junio de 2011 (ver nota de prensa en pdf).
En mi opinión, era una medida que se echaba en falta y que generaba inconsistencia con los QSA (aquí se notaba el diferente origen y enfoque de ambos programas), además de que el tema de los escaneos trimestrales se había convertido, como dice un amigo, en "el festival del humor": poca seriedad y rigurosidad y, sobre todo, poco valor añadido; un simple escaneo automático de puertos que se limitaba a contrastar vulnerabilidades típicas.
No digo que esta medida vaya a cambiarlo todo pero, al menos, abre la vía a un cambio de tendencia... ya que no establece otro tipo de condiciones en el programa que, a mi juicio, son necesarias:
- Necesidad de validaciones por personal cualificado de cada escaneo (según la Guía del Programa, solo se habla de obligación de resolución de conflictos para vulnerabilidades con un CVSS igual o superior a 4).
- Participación de personal formado del ASV en cada escaneo.
Desde luego, por el momento, lo que existe sin lugar a duda es una recaudación adicional por el PCI Council...
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
No hay comentarios:
Publicar un comentario