Escolar Documentos
Profissional Documentos
Cultura Documentos
Criado\Modificado Data
Wesley Brito 09/06/2021
Wesley Brito 08/09/2021
Após acessar o Qualys Cloud Plataform, vá até ao modulo PCI Compliance conforme imagem
abaixo.
2. Após obter acesso, significa que você está na página inicial (dashboard), e está tela
(screen) irá aparecer.
Se optou por Remove IPs, as seguintes telas abaixo serão apresentadas, infome os IPs
que serão removidos ou apenas um determinado IP conforme exemplos nas figuras
abaixo, e clique em Next.
Após confirmar o passo anterior acima, basta clicar em “Remove” isso irá confirmar a
remoção dos IPs previamente informados.
5. Neste tópico iremos realizar os scans, após a conclusão dos scans, vamos realizar analise
dos resultados! Acessando o “Network” conforme imagem abaixo:
Ao selecionar a opção New Scan, será aberta uma nova tela, onde deverá ser preenchida
as informadas a baixo;
Após acessar a opção Scheduled Scans, você será direcionado para a tela onde deverá
consultar se as datas/horas dos ambientes já cadastrados estão corretas, caso contrário
basta editar, e informar datas/horas desejada.
Ao clicar na opção Edit, irá abrir a seguinte tela abaixo, onde você poderá validar se as
informações estão de acordo com o desejado.
Ao clicar no Scan Results, a seguinte tela será apresentada, nela você haverá os status
dos scans como: datas, situação do compliance e o tipo do scan.
Ao baixar o arquivo, seu formato é sempre PDF, e geralmente tem os seguintes dizeres:
“PCIScanResult+data_do_dia_da_criação”
Exemplo: PCIScanResult20210828
Observação:
Nesta sessão Vulnerabilities, podemos realizar consultas através de filtros, após analisar
Relatório anterior, descrito no ponto 6.
Essa sessão ajudará a criar relatórios técnicos e posteriormente encaminhar aos times
responsáveis pelas correções. (Atualmente o time de infraestrutura, e breve será
demandada para os donos de cada produto, exemplo: skyline).
Como podemos ver na figura abaixo, é possível realizar pesquisa por IP, QID, título da
vulnerabilidade, nível de severidade, resumo e se é falso positivo.
OBS: O arquivo será baixado e seu formato é sempre EXCEL, e tem os seguintes dizeres:
“PCIVulnReport-data_do_dia_da_criação”
Exemplo: PCIVulnReport-20210828
8. Neste passo iremos submeter os resultados AVS coletados, para obter um relatório
limpo com o status PASS, para isso devemos acessar o modulo “Compliance”.
Já no modulo, acesse a sessão “Compliance Status”.
Ao clicar na sessão Compliance Status, você será direcionado para a janela seguinte,
conforme imagem abaixo.
All Live IP: Mostra a lista de IPs com status de compliance PASS ou Fail.
Observação:
É importante citar que é possível criar tais justificativas e comentários de duas maneiras,
uma delas é de forma global (dando a mesma justificativa para todos os casos) e a outra
forma é dando justificativas para cada caso.
Se por ventura clicou na opção “Enter a single comment for all issues” erroneamente ou
identificou que a justificativa global não se aplica, e precisa aplicar as justificativas
separadamente e queres volta, clique em “Enter a separate comment for each issue”.
Nota: Uma das justificativas empregada no report anterior previamente alinhado com as
áreas/times e gestor, segue descrita conforme abaixo:
Justificativa:
Justificativa:
However, there is an effort with the business area to get the next
reports cleaned up, including Apache update”.
Seguindo a sequência Report Generation Wizard, nesta próxima janela será a última das
sequências que é possível a interação, então tome nota dos itens e campos que deverão ser
preenchidos nesta sessão.
Tais como:
Lembre-se por ser a última sessão com interação, não será possível retornar à esta
tela.
Seguindo a sequência do Report Generation Wizard, nesta tela informando que o report foi
gerado e já se encontra disponível para visualização.
Enquanto aguarda a validação dos reports por parte da Qualys, podem ser feitos os
downloads dos reports Executive e Technical para ser avaliado pela equipe interna.
Lembrando que tais reports é apenas um Review e não com marca d’água Not
Approved, após a validação e atestação da Qualys é que os reports
PCIExecutiveReport251486-20210609_Not Approved
PCITechnicalReport251486-20210609_Not Approved
Observação:
Fonte:
https://www.qualys.com/docs/qualys-pci-compliance-getting-started-guide.pdf
https://pci.qualys.com/static/help/merchant/network_scans/pci_severity_levels.htm
https://pt.pcisecuritystandards.org/_onelink_/pcisecurity/en2pt/minisite/en/docs/PCI_DSS_v3-2.pdf
https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v3.0.pdf
https://www.pcisecuritystandards.org/documents/Guidance%20for%20PCI%20DSS%20Scoping%20and%20Segmentation_brPT.pdf
https://docs.microsoft.com/pt-br/azure/architecture/reference-architectures/containers/aks-pci/aks-pci-network
https://cloud.google.com/architecture/limiting-compliance-scope-pci-environments-google-cloud?hl=pt-br
https://documentation.vin65.com/assets/images/documents/PCIExecutiveReport.pdf