- 내부 취약점 진단
- 외부 취약점 진단
- 인프라 취약점 진단
보안 컨설팅
진단 서비스란?
브로드밴드시큐리티는 PCI SSC에서 규정한 보안사항 준수를 위해 아래와 같은 취약점 진단 서비스를 제공하고 있습니다.
내/외부 취약점 진단 서비스
PCI SSC에서 규정한 보안사항 준수를 위해 분기 1회 이상, 그리고 시스템 구성요소의 중대한 변화 발생시 내/외부의 취약성 스캐닝을 통해 취약점 식별 후 조치해야 합니다.
-
01
취약점 스캐닝 대상- 카드 소유자 데이터를 '전송', '처리', '저장'하는 환경(CDE)의 모든 시스템 구성요소
- 구성요소와 CDE보안에 영향을 미칠 수 있는 모든 시스템 구성요소
-
02
스캐닝 주기- 분기 1회 이상 및 시스템 구성요소의 중대 변화 발생 시
-
03
스캐닝 수행 및 후속조치- 외부 : 노출된 서비스 대상으로 PCI SSC에서 승인된 스캔 벤더 (ASV)를 사용하여 취약성 (CVE) 스캔을 수행하며, 취약점 발견 시 조치 후 재 스캔을 통해 ‘Pass’여부 확인
(CVSS 4.0 이상 취약점 제거) - 내부 : 네트워크 취약성 (CVE) 스캐너(스캐너 제약사항 없음)를 활용한 취약성 스캐닝을 실시하고, 취약점 발견 시 ‘High Risk’ 이상으로 분류된 취약점 제거 후 재 스캔 수행
- 외부 : 노출된 서비스 대상으로 PCI SSC에서 승인된 스캔 벤더 (ASV)를 사용하여 취약성 (CVE) 스캔을 수행하며, 취약점 발견 시 조치 후 재 스캔을 통해 ‘Pass’여부 확인
외부 취약점 진단 서비스
공개 망에 노출된 시스템이 PCI SSC에서 규정한 범위에 포함될 경우,
ASV (Approved Scanning Vendor) 프로세스에 따라 보안요건을 충족할 수 있도록 이행 가이드를 제공합니다.
내부 취약점 진단 서비스
PCI SSC의 보안규정 준수 범위에 대한 취약성 스캐닝 후
고객 환경에 따른 위험순위평가를 통해 현실적인 대응방안을 제시 해 드립니다.
취약점 진단 수행 절차
평가 범위 및 구성요소를 대상으로 4단계 절차를 기반으로 취약점 진단을 수행합니다.
-
01
사전협의
-
02
취약성 스캔
-
03
결과 분석
-
04
사후 지원