PCIASV
为什么需要 ASV?
ASV* 是 PCI SSC* 支付卡产业安全标准协会 官方认可的外部漏洞扫描厂商
- 官方唯一认可:只有 ASV 报告,才是收单机构与收单行唯一采纳的漏洞扫描合规证明。
- 金融防御门槛:免费工具达不到金融等级严苛的安全标准。
- 收到 ASV 扫描结果后,未整改 = 不通过
合规不是「有扫就好」,更重要的是「持续合规」。
作为 ASV 顾问,我们不仅提供官方认可报告,更缩短「发现漏洞」到「完成合规」之间的距离,引导企业将每年一次性稽核转化为持续合规的实力。
安律国际是支付卡产业认可 (漏洞) 扫描厂商 Payment Card Industry Approved Scanning Vendor
PCI ASV List
PCI ASV Features
还在以为有软件工具就能帮您取得通过(Pass)? 常因误扫、漏扫与误判,让您最终只拿到一堆“问题清单”!
技术规格
扫描任何可以被外部连接的 IP、域名,不受限于地端或云端环境
网络层、系统主机与 Web 网站设置漏洞。
实时同步全球最新 CVE 与 NVD 威胁情报。
Uses 非侵入式 (Non-intrusive) 扫描,将营运影响降到最低。
识别标准
直接对应 PCI DSS v4.0.1 最新版安全规范,相当金融等级
采用由 FIRST.org 维护并经 NIST NVD (美国国家漏洞数据库) 全球采纳 CVSS v3.1 漏洞评鉴标准。
凡侦测 CVSS≥ 4.0 之漏洞,系统自动标示为「必须整改」项目
PCI ASV 扫描服务
标准合规 - 每季扫描方案
费用:TWD 12,000 /年 起 (未税)
适合对象:所有需要 PCI DSS 合规企业。
- 含 3 组 IP/域名 (满足多数企业网站基础架构)。
- 每 3 个月 (季) 扫描 1 次并含复扫 1 次。
- 每次扫描前发送提醒通知,经标的信息确认后,即启动排程。
- 每次扫描通过后,提供正式 ASV 合规报告。
* 弹性扩充:超过 3 组,每新增 1 组 IP/域名,仅需加价 TWD 1,000 (约 RMB 220)
持续合规 - 每月扫描方案
费用:TWD 36,000 /年 起 (未税)
适合对象:电商平台、支付服务商、或开发频繁、追求零漏洞的企业。
- 含 3 组 IP/域名 (满足多数企业网站基础架构)。
- 每 1 个月(季)扫描 1 次并含复扫 1 次。
- 含紧急扫描 1次/年。
- 每次扫描前发送提醒通知,经标的信息确认后,即启动排程。
- 每次扫描通过后,提供正式 ASV 合规报告。
* 弹性扩充:超过 3 组,每新增 1 组 IP,仅需加价 TWD 3,000 (约 RMB 654)
让专业顾问,成为您的合规帮手
ASV 扫描服务
您登记 IP/域名
后续由合规顾问群代操繁琐扫描程序与人工审阅报告以最高效率产出 ASV 报告。
ASV 快速上手 - FAQ
A:大多数工具可用于日常检测,但如果您是需要 PCI DSS 合规的企业,依据 PCI DSS Req. 11.3.2 要求:每季执行一次“外部漏洞扫描”且须由PCI SSC 官方认可扫描服务商(ASV)执行扫描、审核并签发报告。只有具备由 ASV 所签发的合规报告,才能提交至收单机构,作为合规证据。
A:基于多年合规审查实务经验,大多数公司的外部网络通常涉及多个对外端点。方案中提供 3 组标的,是为了确保扫描能覆盖到最基本「合规要求范围」。
需要的扫描标的 (IP / 域名),通常包含:
- 支付网站、支付后台
- 支付 Gateway、支付 API
- 测试支付环境站台、测试支付 API
- 运维管理服务主机 (VPN, Jump Server)
A::Secure Vector 提供自动化 PCI ASV 服务,对客户端操作流程友善、简便高效:
- 系统登录: 只要依照 E-mail 指示,在系统中登记您的扫描标的(IP/网域)即可。
- 专家操作扫描及复审报告: 技术人员执行扫描后,将由 ASV 顾问进行人工复审,以排除误判并确保报告的精确度。
- 交付报告: 从确认扫描标的起算,通常约 7-10 个工作题即可收到正式的 ASV 报告。
A:不是的。取得单份报告仅代表该次扫描合格。根据 PCI DSS 规范(涵盖所有 SAQ 类型),企业必须 每三個月(每季) 定期执行扫描,并确保每次都取得“Pass”结果。
- 合规证据:每年总共 4 份季度扫描报告,是维持 PCI DSS 合规性的必备核心证据。
- QSA 建议:由于合规要求具备连续性,定期且准时执行 ASV 扫描对于确保合规状态至关重要,能避免因遗漏扫描而导致的违规风险。