Procedimento Approved Scanning Vendor (ASV) – Submeter reports PCI

DSS (Payment Card Industry Data Security Standard) para disputa de

compliance junto a Qualys.

Criado\Modificado Data
Wesley Brito 09/06/2021
Wesley Brito 08/09/2021

1. Primeiramente deve acessar a página do PCI através das opções 1 ou 2, conforme

descrito abaixo;

Opção 1: Diretamente na URL do Modulo PCI

https://pci.qualys.com/merchant/login.php

Opção 2: Modulo do Qualys Cloud Plataform, PCI Compliance

https://qualysguard.qg2.apps.qualys.com/qglogin/index.html

Após acessar o Qualys Cloud Plataform, vá até ao modulo PCI Compliance conforme imagem
abaixo.
2. Após obter acesso, significa que você está na página inicial (dashboard), e está tela
(screen) irá aparecer.

3. Acesse o “Acount” para adicionar/remover IP’s/DNS. Pois só é possível realizar o scan

se os IPs/DNS Hosts estiverem previamente cadastrados.

4. Já no “Acount”, acesse uma das opções “IP Assets” ou “DNS Hosts”!

Veja que já existe IP’s, (não se preocupe, esta lista pode ser inserida/removido IP´s a
qualquer momento) basta clicar na opção desejada.

 Add IPs= adicionar novos IPs

 Remove IPs= para remover IPs
Se optou por ADD IPs segundo passo anterior, a seguinte tela abaixo irá ser apresentada,
infome os IPs, conforme exemplo na figura, e clique em Add.

Se optou por Remove IPs, as seguintes telas abaixo serão apresentadas, infome os IPs
que serão removidos ou apenas um determinado IP conforme exemplos nas figuras
abaixo, e clique em Next.

Após confirmar o passo anterior acima, basta clicar em “Remove” isso irá confirmar a
remoção dos IPs previamente informados.
5. Neste tópico iremos realizar os scans, após a conclusão dos scans, vamos realizar analise
dos resultados! Acessando o “Network” conforme imagem abaixo:

Acesse uma das opções “New Scan” ou “Scheduled Scans”!

Ao selecionar a opção New Scan, será aberta uma nova tela, onde deverá ser preenchida
as informadas a baixo;

 Title= “Nome do Scan”

 Bandwindth= “ Sempre Medium”
 Assets Type:
 All IPs – significa que todos os IPs previamente cadastrado serão
executados no Scan.
 Select IPs – será executado um scan customizados, apenas nos ativos
selecionados,
o Exemplo: você tem duas listas, uma PRD e outras HML, então você
executa scan separadamente, um na lista PRD e outro na lista HML.
 Launch:
 Launch Now – Executa de imediato
 Schedule for Later – Será realizar uma programação para ser executado
na data/hora que melhor seja conveniente.
Ao selecionar a opção Scheduled Scans, significa que já tem ambientes cadastrados ou
já foram executados anteriormente.

Após acessar a opção Scheduled Scans, você será direcionado para a tela onde deverá
consultar se as datas/horas dos ambientes já cadastrados estão corretas, caso contrário
basta editar, e informar datas/horas desejada.

Ao clicar na opção Edit, irá abrir a seguinte tela abaixo, onde você poderá validar se as
informações estão de acordo com o desejado.

Neste exemplo: estamos citando e analisando um ambiente já

cadastrado, e é um scan customizado é exatamente a lista de
ativos externos do BIG-IP PRD, e consta apenas ativos PRD, e a
cada 30 dias a tarefa do scan é reexecutado as 23:59.
6. Agora iremos realizar a analises dos resultados dos scans, ainda na aba “network”
acesse o Scan Results, conforme imagem abaixo.

Ao clicar no Scan Results, a seguinte tela será apresentada, nela você haverá os status
dos scans como: datas, situação do compliance e o tipo do scan.

Ao verificar tais status, favor realizar o download do arquivo, conforme indicação da

imagem abaixo.
Após clicar para realizar o download, irá abrir uma nova janela “Report Lauched”
informando o status da criação do Report.

Ao baixar o arquivo, seu formato é sempre PDF, e geralmente tem os seguintes dizeres:
“PCIScanResult+data_do_dia_da_criação”

Exemplo: PCIScanResult20210828

Observação:

Ao abrir o arquivo PDF:

O relatório contém as seguintes informações iniciais conforme imagens abaixo,

tais como os endereços de IPs, sumário e umas das informações importantes é a
marca d’água “Not a certified PCI report” isso quer dizer que o relatório em
questão não está em “Compliance” pela a certificadora Qualys, e precisará
passar por correções das vulnerabilidades ou aceite dos riscos.
7. Continuando a análise dos resultados, ainda na aba “network”, acesse a
Vulnerabilities.

Nesta sessão Vulnerabilities, podemos realizar consultas através de filtros, após analisar
Relatório anterior, descrito no ponto 6.
Essa sessão ajudará a criar relatórios técnicos e posteriormente encaminhar aos times
responsáveis pelas correções. (Atualmente o time de infraestrutura, e breve será
demandada para os donos de cada produto, exemplo: skyline).
Como podemos ver na figura abaixo, é possível realizar pesquisa por IP, QID, título da
vulnerabilidade, nível de severidade, resumo e se é falso positivo.

Após definir os filtros desejado, é possível fazer o download da pesquisa.

Clicando em Download All.

OBS: O arquivo será baixado e seu formato é sempre EXCEL, e tem os seguintes dizeres:
“PCIVulnReport-data_do_dia_da_criação”

Exemplo: PCIVulnReport-20210828
8. Neste passo iremos submeter os resultados AVS coletados, para obter um relatório
limpo com o status PASS, para isso devemos acessar o modulo “Compliance”.
Já no modulo, acesse a sessão “Compliance Status”.

Ao clicar na sessão Compliance Status, você será direcionado para a janela seguinte,
conforme imagem abaixo.

Veja também na figura abaixo, 2 pontos importante, são eles:

 All Live IP: Mostra a lista de IPs com status de compliance PASS ou Fail.

 Hosts not Live: Mostra a lista de IPs/DNS não escaneados ou indisponíveis.

A partir do momento em que clicar no botão “Generate” se iniciar a geração do report
para disputa.

Ao clicar em “Generate” outras janelas serão abertas em uma sequência, leia

atentamente cada uma dessas, e siga para as próximas clicando em Next.

Observação:

Atenção nesta próxima janela, dando continuidade no Report Generation Wizard

precisaremos informar as justificativas se aplicável, ou comentários se não aplicável.
“Um dos Aceites ou De Acordo! ”

É importante citar que é possível criar tais justificativas e comentários de duas maneiras,
uma delas é de forma global (dando a mesma justificativa para todos os casos) e a outra
forma é dando justificativas para cada caso.

Ao optar pela forma separadamente, informando cada justificativa e comentário

individual para cada caso. Basta clicar na flag Yes ou No, e descreva cada caso
previamente alinhado com os times/área e seu gestor.
Se optar pela forma global (dando a mesma justificativa para todos os casos) clique em
“Enter a single comment for all issues” conforme imagem acima. Só opte por esta forma,
se todos os casos forem igual. Desta forma tal justificativa aplica-se a vários casos.
Lembrando que tal justificativa deve ser alinhada com os times/área e seu gestor.

Se por ventura clicou na opção “Enter a single comment for all issues” erroneamente ou
identificou que a justificativa global não se aplica, e precisa aplicar as justificativas
separadamente e queres volta, clique em “Enter a separate comment for each issue”.

Nota: Uma das justificativas empregada no report anterior previamente alinhado com as
áreas/times e gestor, segue descrita conforme abaixo:
Justificativa:

“In contact with the Telecom team, I was informed that

there is no service using the UDP protocol. Servers listen
only on TCP / 443 port. In addition, there is a firewall layer
and F5 Big IP before reaching the web servers”
Nesta próxima janela, seguindo com o Report Generation Wizard podemos realizar a última
validação dos IPs antes seguir com a submissão do report, nela estão os IPS identificados
como não compatível ou não conformidade com o padrão PCI, a ferramenta nos auxilia
gerando algumas informações essências como por exemplo: podemos adicionar novos
comentários “de acordo”, excluir o IP, ou gerar um novo plano de correção conforme
informando no ponto 7.

Após validar os citados, basta clicar em Next.

Nota: Outra justificativa empregada no report anterior previamente alinhado com as

áreas/times e gestor, segue descrita conforme abaixo:

Justificativa:

“There was an attempt to disable these protocols and weak

ciphers, but we had unavailability in BrasPag for a legacy API.

However, there is an effort with the business area to get the next
reports cleaned up, including Apache update”.
Seguindo a sequência Report Generation Wizard, nesta próxima janela será a última das
sequências que é possível a interação, então tome nota dos itens e campos que deverão ser
preenchidos nesta sessão.

Tais como:

 Your name: Nome do Responsável/Analista

 Your Title: Título do Report
 Not Active IPs: Ativos que não serão apresentados no report, será criado uma
exceção apenas para os ativos informado neste campo. Neste exemplo conforme
imagem abaixo, foi declarado os ativos do BIG IP HML, para que o report tenha
apenas ativos PRD, conforme explicado no ponto 5.

 Lembre-se por ser a última sessão com interação, não será possível retornar à esta
tela.

Com todos os campos e informações validadas, conforme solicitadas na imagem abaixo

clique em Next.
Seguindo a sequência do Report Generation Wizard, aqui será apresentado apenas o status
da criação do relatório.

Na figura apresentada informando que o Launching Report ...

Seguindo a sequência do Report Generation Wizard, nesta tela informando que o report foi
gerado e já se encontra disponível para visualização.

Basta clicar em Go to Scan Results ou Go to Compliance Status conforme imagem abaixo, e

você será direcionado para uma janela.
9. Neste passo iremos aguardar a validação os resultados coletados e as justificativas
submetidas a Qualys, para obter um relatório limpo com o status PASS ou Fail, para isso
devemos acessar o modulo “Compliance”. Ir até a sessão “Submitted Reports”.

Após acessar a sessão “Submitted Reports” será apresentado a janela, conforme

imagem abaixo. Veja que o ultimo report submetido encontra-se com o status Pending
Review esse status tem um período de 3 a 6 dias para a Qualys retornar.

Enquanto aguarda a validação dos reports por parte da Qualys, podem ser feitos os
downloads dos reports Executive e Technical para ser avaliado pela equipe interna.

Lembrando que tais reports é apenas um Review e não com marca d’água Not
Approved, após a validação e atestação da Qualys é que os reports

Ao baixar o arquivo, seu formato é sempre PDF, e geralmente tem os seguintes

nomenclatura segue exemplo:

PCIExecutiveReport251486-20210609_Not Approved
PCITechnicalReport251486-20210609_Not Approved
 Observação:

Ao abrir os arquivos PDF:

Os relatórios Executive e Technical contém as seguintes informações iniciais

conforme imagens abaixo, tais como A1 Scan Customer Information (dados do
cliente – neste caso Cielo) e A2 Approved Scanning Vendor Information (dados
da companhia certificadora do report - Qualys) e umas das informações
importantes é a marca d’água “Not Approved” isso quer dizer que o relatório
ainda não foi atestado pela a Qualys.

10. Passando o período de validação e atestação.

Retorne o acesso na sessão “Submitted Reports” veja conforme imagem abaixo, que o
ultimo report submetido encontra-se com o status Attested, significa que o reports foi
validado, e não tem as marcas d’agua “Not Approved” porém não está em compliance,
por isso o status encontra-se FAIL.
Isso quer dizer que a Qualys aceitou as justificativas, para geração do relatório, mas
não aceitou aprovar um relatório limpo. Devido existir vulnerabilidades não corrigidas
e com altas possibilidades falhas de explorações.
 Observação:

Ao abrir os arquivos PDF após atestação da Qualys.

Os relatórios Executive e Technical conforme citado anteriormente e nas

imagens abaixo, como A1 Scan Customer Information (dados do cliente – neste
caso Cielo) e A2 Approved Scanning Vendor Information (dados da companhia
certificadora do report - Qualys) agora sem a informação da marca d’água “Not
Approved” isso quer dizer que o relatório foi atestado e validado pela a Qualys.

Fonte:
https://www.qualys.com/docs/qualys-pci-compliance-getting-started-guide.pdf

https://pci.qualys.com/static/help/merchant/network_scans/pci_severity_levels.htm

https://pt.pcisecuritystandards.org/_onelink_/pcisecurity/en2pt/minisite/en/docs/PCI_DSS_v3-2.pdf

https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v3.0.pdf

https://www.pcisecuritystandards.org/documents/Guidance%20for%20PCI%20DSS%20Scoping%20and%20Segmentation_brPT.pdf

https://docs.microsoft.com/pt-br/azure/architecture/reference-architectures/containers/aks-pci/aks-pci-network

https://cloud.google.com/architecture/limiting-compliance-scope-pci-environments-google-cloud?hl=pt-br

https://documentation.vin65.com/assets/images/documents/PCIExecutiveReport.pdf