Edgio Information Security & Compliance – PCI-DSS 4,0-Konformität
Gliederung
Die Sicherheitssuite von Edgio bietet einen robusten und integrierten Ansatz zur schnellen Implementierung und Sicherung von Webanwendungen und passt sich an PCI DSS-Sicherheitskontrollen an, um umfassenden Schutz und Compliance zu gewährleisten.
Der PCI Security Standards Council leitet die globale Initiative zur Erhöhung der Zahlungssicherheit innerhalb des Ökosystems für Karteninhaberdaten. Der 2004 gegründete PCI Data Security Standard (PCI DSS) hat sich als universeller Benchmark für die Sicherung von Karteninhaberdaten entwickelt. Die Einhaltung von PCI DSS ist für alle Unternehmen, die Karteninhaber- und vertrauliche Authentifizierungsdaten verarbeiten, speichern oder übertragen, unerlässlich, um die Integrität der Datenumgebung des Karteninhabers zu gewährleisten.
Das Update von PCI DSS 3,2 auf 4,0 stellt eine entscheidende Weiterentwicklung des Standards dar. Mit dem Ausscheiden von 3,2 am 31. März 2024 hat PCI DSS 4,0 Vorrang. Unternehmen erhalten ein Zeitfenster von zwei Jahren, um die neuen Best Practices zu übernehmen und umzusetzen, die 4,0 festgelegt wurden. Ab dem 31. März 2025 ist die Einhaltung dieser Praktiken zwingend erforderlich, um die Einhaltung der aktualisierten Norm aufrechtzuerhalten.
Wie Sie die kontinuierliche PCI DSS-Compliance aufrechterhalten
Die Sicherheitslösung von Edgio bietet eine robuste und umfassende Lösung zur Gewährleistung der PCI-DSS-Compliance und schützt Unternehmen vor den Folgen von Verstößen gegen Compliance wie hohen Geldstrafen, kostspieligen Rechtsstreitigkeiten, Markenschäden und einem verringerten Vertrauen der Verbraucher. Die Umstellung auf PCI DSS 4,0 kann schwierig sein, doch die Sicherheitslösung von Edgio optimiert den Prozess und bietet eine Reihe von Services, die sich problemlos in verschiedenen Umgebungen implementieren lassen, ohne die Komplexität und hohen Kosten herkömmlicher Sicherheitstools zu ersparen.
Unser Service umfasst Cloud-basierte Software, Analysen und ein Team von Experten-Sicherheitsanalysten, die Ihre Umgebung rund um die Uhr überwachen. Mit unseren Managed Detection and Response (MDR)- und Managed Web Application Firewall (WAF)-Lösungen bieten wir:
- Analyse von Ereignisprotokolldaten zur Erkennung potenzieller Sicherheitsvorfälle, wie z. B. Kontosperrungen, fehlgeschlagene Anmeldungen, neue Benutzerkonten und nicht autorisierte Zugriffsversuche.
- Identifizierung von Vorfällen, die eine Untersuchung, Benachrichtigung zur Prüfung und Erstellung eines Auditprotokolls für Vorfälle erfordern.
- Expertenbegutachtung und Unterstützung bei der Beilegung von Streitigkeiten mit PCI ASV-Scan-Berichten.
- Überwachung von Aktivitäten zur Protokollierung und Warnungen, wenn keine Protokolle erfasst werden.
- Konfiguration, Überwachung und regelmäßige Feinabstimmung von Firewalls für Webanwendungen, um schädlichen Webverkehr zu blockieren.
Die Einführung von PCI DSS 4,0 hat Web Application Firewalls zur obligatorischen Voraussetzung gemacht, um webbasierte Angriffe auf Anwendungen und APIs „kontinuierlich zu erkennen und zu verhindern“. Die Managed WAF von Edgio erfüllt nicht nur diese Anforderung, sondern bietet auch automatisierte Kontrollen zur Minderung clientseitiger Risiken, die die Anforderungen von 6.4.3 und 6,1 erfüllen und den Bedarf an mehreren Sicherheitstools verringern. Unsere Lösung wurde entwickelt, um Ihr Unternehmen umfassend zu schützen, um sicherzustellen, dass Sie Sicherheitsbedrohungen stets einen Schritt voraus sind und Compliance problemlos einhalten können.
PCI DSS 4,0-Anforderungen und Edgio Security
PCI DSS 4,0 Anforderung 6: Entwicklung und Wartung sicherer Systeme und Software
Anforderung 6 schreibt vor, dass Unternehmen sicherstellen müssen, dass alle Systeme und Software vor bekannten Schwachstellen geschützt sind, indem sie kritische Sicherheitspatches implementieren und sichere Entwicklungspraktiken einführen. Dazu gehören die Pflege eines aktuellen Softwarebestands, die Implementierung von Änderungskontrollprozessen zur Verwaltung von Änderungen an Systemkomponenten und die Sicherstellung, dass Sicherheitsfunktionen in die Entwicklung von Anwendungen einbezogen werden.
Edgio erfüllt diese Anforderung mit den folgenden Lösungen:
Asset-Erkennung und -Prüfung: Clientseitiger Schutz katalogisiert und verfolgt Assets, die vom Client verwendet werden.
Schwachstellenanalyse: Mit dem Angriffsoberflächenmanagement (ASM) erhält ein Unternehmen einen vollständigen Überblick über alle Eigenschaften und möglichen Schwachstellen. CVEs können Eigentümern zugewiesen und schnell bearbeitet werden.
Endpunkterkennung: API-Sicherheit überwacht, erzwingt Schemas und Berichte zur API-Nutzung.
PCI DSS 4,0 Requirement 10: Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten
Anforderung 10 konzentriert sich auf die Bedeutung der Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten, um Sicherheitsvorfälle rechtzeitig zu erkennen und darauf zu reagieren. Unternehmen müssen Protokollierungsmechanismen implementieren und sicherstellen, dass Protokolle regelmäßig überprüft werden. Zu dieser Anforderung gehört auch, dass Protokolle sicher, vollständig und genau sind.
Edgio erfüllt diese Anforderung mit den folgenden Lösungen:
- Echtzeitberichte und Protokolle: Edgio bietet Zugriff auf Build-, Server- und Zugriffsprotokolle.
- Clientseitiger Schutz: Edgio überwacht browserseitige Skripte und APIs, um Datenextraktion zu verhindern.
- Kontinuierliche Überwachung: Edgio überwacht kontinuierlich den Datenverkehr im gesamten System und nutzt ML und KI, um Probleme zu bereinigen und zu warnen. Dazu gehört auch der Zustand des gesamten Netzwerks und der darin enthaltenen Systeme.
PCI DSS 4,0 Anforderung 11: Testen Sie Sicherheitssysteme und -Prozesse
Anforderung 11 verlangt von Unternehmen, Sicherheitssysteme und -Prozesse regelmäßig zu testen, um sicherzustellen, dass sie den effektiven Schutz von Karteninhaberdaten gewährleisten. Dies umfasst die Durchführung von Schwachstellen-Scans, Penetrationstests und Tests zur Erkennung von Eindringlingen, um Sicherheitslücken zu identifizieren und zu beheben.
Edgio erfüllt diese Anforderung mit den folgenden Lösungen:
- Attack-Surface Management (ASM): Die ASM-Lösung von Edgio bietet einen vollständigen Überblick über die gesamte internetorientierte Architektur. Dies umfasst eine Bestandsaufnahme der Schwachstellen für die Protokollierung und die Zuweisung an Eigentümer zur Nachverfolgung.
- Web Application Firewall (WAF): Die verwaltete WAF von Edgio stellt einen fortlaufend aktualisierten Satz von Regeln zur Behebung von Sicherheitslücken bereit. Darüber hinaus kann es Dinge wie SQL-Injection, Cross-Site-Scripting oder andere Manipulationen von Anforderungen erfassen.
- Bot-Management: Edgio stellt ein Bot-Management-Tool bereit, das sicherstellt, dass Seiten nicht von Bots für Aktionen wie Credential Stuffing missbraucht werden.
- API-Sicherheit: Durchsetzung der Schemavalidierung von API-Aufrufen.
- Security Operations Center (SOC): Überwacht und wartet Warnungen bei abnormalem Verhalten auf.
PCI DSS 4,0 Requirement 12: Implementierung einer Richtlinie zur Informationssicherheit
Bei Anforderung 12 geht es um die Aufrechterhaltung einer Richtlinie zur Informationssicherheit für alle Mitarbeiter. Diese Richtlinie sollte eine organisatorische Verpflichtung zur Sicherheit, Rollen und Verantwortlichkeiten für die Sicherheit sowie betriebliche Verfahren umfassen, die regelmäßig aktualisiert werden, um Änderungen an Geschäftszielen oder der Risikoumgebung Rechnung zu tragen.
Edgio erfüllt diese Anforderung mit den folgenden Lösungen:
- Security Operations Center (SOC): Das SOC von Edgio unterhält eine ganze Reihe von Prozessen für die verwaltete Erkennung und Reaktion auf Sicherheitsereignisse. Sie können im Falle von Zero-Day-Schwachstellen oder Angriffen schnell netzwerkweite Regeln implementieren. Sie pflegen eine umfassende SLA-Richtlinie für Eskalation und 24/7-Reaktion.