Le scansioni di vulnerabilità devono essere effettuate almeno una volta ogni tre mesi e a seguito di modifiche significative. Cosa si intende per "modifica significativa" in PCI DSS?

Modifiche significative nel PCI DSS

La definizione di una modifica significativa dipende in larga misura dalla configurazione del tuo ambiente.

Tuttavia, queste attività sono considerate "Modifica significativa" dal Consiglio PCI:

• Nuovi hardware, software o apparecchiature di rete aggiunti al CDE.
• Qualsiasi sostituzione o upgrade importante dell'hardware e del software nel CDE.
• Eventuali modifiche del flusso o dell'archiviazione dei dati del conto.
• Eventuali modifiche del limite del CDE e/o dell'ambito della valutazione PCI DSS.
• Qualsiasi modifica dell'infrastruttura di supporto sottostante del CDE (incluse, senza limitazione, modifiche dei servizi di directory, server di riferimento temporale, registrazione e monitoraggio).
• Eventuali modifiche di fornitori/fornitori di servizi terze parti (o servizi forniti) che supportano il CDE o soddisfano i requisiti PCI DSS per conto dell'entità.

Ognuna di queste attività, come minimo, ha un impatto potenziale sulla sicurezza dell'ambiente dei dati dei titolari di carta (CDE) di un'entità e deve essere presa in considerazione e valutata per determinare se una modifica è significativa per quell'entità e nel contesto dei relativi requisiti PCI DSS.