PCI ASV

根据PCI SSC的规定，所有ASV的执行过程和流程都应该要满足“asv_program_guide_v1.0”的要求。该指导文件描述了ASV扫描流程中的不同角色，扫描范围的确定，脆弱性分类，扫描报告内容描述，误报处理，报告的交付和完整性保护，质量保证等内容。

PCI SSC对于ASV扫描报告格式有严格的要求，每个ASV在报告中都需要包含以下的内容：

□扫描认证的合规性

这部分的内容是整体的总结，主要显示客户的基础架构是否满足PCI DSS审核要求并且通过ASV的扫描。

□ ASV扫描报告执行摘要

这一章节的内容需要列举组件(通过IP地址的形式)的脆弱性以显示每个被扫描的IP地址是否满足PCI DSS审核要求并且通过ASV的扫描。这个章节当中，所有的脆弱性都会对应到特定的IP地址，每个脆弱性都会与IP地址一一对应。

□ ASV扫描报告漏洞详细资料

这个章节包含对应脆弱性合规的状态(通过 / 失败)的总结以及被发现的脆弱性的详细描述。

除上述描述以外，作为一份被认可的ASV扫描报告，它需要包含两个非常重要的元素：被扫描客户对ASV扫描的认可声明（包括扫描的范围，客户的信息等内容）另外一个则是具有PCI SSC ASV资质认定的人员对于报告的认可。其中最后一个元素被视为ASV扫描报告有效性的证明。任何没有经由具有PCI SSC ASV资质认定的人员声明的ASV报告将不被视为一份合规的ASV扫描报告。2100433B

授权扫描服务商是经过支付卡产业安全标准委员会（PCI SSC：Payment Card Industry Security Standards council）认可的（可以通过这里进行查询），为商户和服务提供商的对外提供服务的互联网环境执行脆弱性扫描的组织，它的目的是为了验证商户和服务提供商遵守一定的PCI DSS要求(PCI DSS 11.2要求)。

对于ASV的认证，PCI SSC除了对公司的资质要求以外，扫描工具也需要经过PCI SSC的认可。除此以外执行ASV扫描的人员则需要通过PCI SSC的ASV在线考试。

在执行ASV扫描之前，执行扫描的人员需要与客户一起去确定ASV扫描的范围。通常客户需要提供其对外提供服务的所有IP地址列表，网络拓扑图以及相关的资料以便扫描人员能够根据PCI DSS要求判断那些系统组件应该要在扫描的范围之内。按照PCI DSS的要求：所有对外提供服务的涉及持卡人信息传输，处理或者存储的系统组件都需要每季度执行ASV扫描。这里的系统组件包括但不限于服务器，网络设备，安全设备。

在初步确定ASV扫描范围之后，扫描人员需要使用ASV扫描工具的“探测”功能去探测目标系统以及与其相关联系统组件的状态。在这个环节当中， ASV扫描工具会自动化的去识别与预设目标相关联的系统组件的活动状态，所以“探测”扫描发现的IP地址数量通常会比预设目标的IP数量会更多。这时候扫描人员就需要根据发现的结果与客户进行讨论以最终确认ASV的扫描范围。

ASV(Advanced Safety Vehicle)

ASV计划旨在实现汽车智能化，以此来帮助驾驶员减少反应、判断等人为失误，制造更为安全的汽车。

ASV(Approved Scanning Vendor)

ASC(Approved Scanning Vendor)授权的漏洞扫描服务商

授权扫描服务商是经过PCI SSC认可的，为商户和服务提供商的对外提供服务的互联网环境执行脆弱性扫描的组织，它的目的是为了验证商户和服务提供商遵守一定的PCI DSS（付卡行业数据安全标准)要求.

Action Script Viewer (ASV)

是一款 SWF 反编译的 win32 应用程序。能让你查看 SWF 文件里面的动作脚本；能让你抽取位图、音频、视频、字体等原始文件；能让你浏览 SWF 文件的内部架构；能帮你重建 SWF 的 FLA 文件，导出 SWF 的原始资源文件和一个 JSFL 命令。