Edgio information Security & Compliance – conformité PCI-DSS 4,0
Contour
La suite de sécurité d’Edgio offre une approche robuste et intégrée pour implémenter et protéger rapidement les applications Web, en s’alignant sur les contrôles de sécurité PCI DSS pour assurer une protection et une conformité complètes.
Le PCI Security Standards Council est le fer de lance de l’initiative mondiale visant à renforcer la sécurité des paiements au sein de l’écosystème des données des titulaires de carte. Établie en 2004, la norme PCI DSS (PCI Data Security Standard) est devenue la référence universelle pour la sécurisation des informations des titulaires de carte. La conformité à la norme PCI DSS est impérative pour toutes les organisations qui traitent, stockent ou transmettent des données d’authentification sensibles et des titulaires de carte, garantissant ainsi l’intégrité de l’environnement de données du titulaire de carte.
La mise à jour de PCI DSS 3,2 à 4,0 représente une évolution charnière de la norme. Avec le retrait de 3,2 le 31 mars 2024, la norme PCI DSS 4,0 aura préséance. Un délai de deux ans est accordé aux organisations pour adopter et mettre en œuvre les nouvelles pratiques exemplaires définies en 4,0. Après le 31 mars 2025, le respect de ces pratiques sera obligatoire pour maintenir la conformité à la norme mise à jour.
Comment maintenir la conformité PCI DSS en continu
La solution de sécurité d’Edgio offre une solution robuste et complète pour assurer la conformité PCI DSS, protégeant les entreprises des répercussions de la non-conformité telles que les lourdes amendes, les batailles juridiques coûteuses, les dommages à la marque et la diminution de la confiance des consommateurs. La transition vers la norme PCI DSS 4,0 peut être ardue, mais la solution de sécurité d’Edgio rationalise le processus, en offrant une suite de services faciles à mettre en œuvre dans divers environnements sans les complexités et les coûts élevés associés aux outils de sécurité traditionnels.
Notre service comprend un logiciel basé sur le cloud, des analyses et une équipe d’analystes de sécurité experts qui surveillent votre environnement 24 heures sur 24. Grâce à nos solutions de détection et de réponse gérées (MDR) et de pare-feu d’application Web géré (WAF), nous fournissons :
- Analyse des données du journal des événements pour détecter les incidents de sécurité potentiels, tels que les verrouillages de comptes, les échecs de connexion, les nouveaux comptes utilisateur et les tentatives d’accès non autorisées.
- Identification des incidents nécessitant une enquête, notification pour examen et création d’une piste d’audit des incidents pour les auditeurs.
- Examen par des experts et assistance dans la résolution des litiges avec les rapports d’acquisition PCI ASV.
- Surveillance des activités de collecte de journaux et alertes lorsque les journaux ne sont pas collectés.
- Configuration, surveillance et ajustement régulier des pare-feu des applications Web pour bloquer le trafic Web malveillant.
Avec l’introduction de la norme PCI DSS 4,0, les pare-feu des applications Web sont devenus une exigence obligatoire pour « détecter et prévenir en permanence les attaques Web » contre les applications et les API. Le WAF géré d’Edgio répond non seulement à cette exigence, mais fournit également des contrôles automatisés pour atténuer les risques côté client, répondant aux exigences de 6.4.3 et 11.6,1, et réduisant le besoin d’outils de sécurité multiples. Notre solution est conçue pour protéger votre entreprise de manière exhaustive, vous assurant de garder une longueur d’avance sur les menaces de sécurité et de maintenir la conformité avec facilité.
Exigences PCI DSS 4,0 et sécurité Edgio
PCI DSS 4,0 exigence 6 : développer et maintenir des systèmes et des logiciels sécurisés
L’exigence 6 exige que les entreprises s’assurent que tous les systèmes et logiciels sont protégés contre les vulnérabilités connues en mettant en œuvre des correctifs de sécurité critiques et en adoptant des pratiques de développement sécurisées. Cela comprend la tenue à jour d’un inventaire des logiciels, la mise en œuvre de processus de contrôle des modifications pour gérer les modifications apportées aux composants du système et l’intégration de fonctions de sécurité dans le développement des applications.
Edgio répond à cette exigence avec les solutions suivantes:
Découverte et audit des actifs : les catalogues de protection côté client et le suivi des actifs utilisés par le client.
Analyse des vulnérabilités : Attack surface Management (ASM) permet à une organisation d’obtenir une vue complète de toutes leurs propriétés et vulnérabilités possibles. Les DVE peuvent être attribués aux propriétaires et traités rapidement.
Détection des noeuds d’extrémité : la sécurité API surveille, applique les schémas et crée des rapports sur l’utilisation des API.
PCI DSS 4,0 exigence 10 : suivi et surveillance de tous les accès aux ressources réseau et aux données des titulaires de carte
L’exigence 10 met l’accent sur l’importance de suivre et de surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte afin de détecter les incidents de sécurité et d’y répondre en temps opportun. Les organisations sont tenues de mettre en œuvre des mécanismes de journalisation et de veiller à ce que les journaux soient examinés régulièrement. Cette exigence comprend également la garantie que les journaux sont sécurisés, complets et exacts.
Edgio répond à cette exigence avec les solutions suivantes:
- Rapports et journaux en temps réel : Edgio donne accès aux journaux Build, Server et Access.
- Protection côté client : Edgio surveille les scripts et les API côté navigateur pour empêcher l’exfiltration des données.
- Surveillance continue : Edgio surveille en permanence le trafic dans l’ensemble de son système et exploite ML et IA pour nettoyer et alerter sur les problèmes. Cela inclut l’intégrité de l’ensemble du réseau et des systèmes qu’il contient.
PCI DSS 4,0 exigence 11 : tester les systèmes et processus de sécurité
L’exigence 11 exige que les organisations testent régulièrement les systèmes et les processus de sécurité pour s’assurer qu’ils protègent efficacement les données des titulaires de carte. Cela inclut la réalisation d’analyses de vulnérabilité, de tests d’intrusion et de tests de détection d’intrusion pour identifier et corriger les faiblesses de sécurité.
Edgio répond à cette exigence avec les solutions suivantes:
- Attack-surface Management (ASM) : la solution ASM d’Edgio fournit une vue complète de l’ensemble de l’architecture face à Internet. Cela inclut un inventaire des vulnérabilités pour la journalisation et l’affectation aux propriétaires pour le suivi.
- Pare-feu d’application Web (WAF) : le WAF géré d’Edgio fournit un ensemble de règles continuellement mises à jour pour corriger les vulnérabilités. En outre, il peut intercepter des choses comme l’injection SQL, le script inter-site ou d’autres falsifications de requêtes.
- Gestion des bots : Edgio fournit un outil de gestion des bots pour s’assurer que les pages ne sont pas abusées par les bots pour des actions telles que le bourrage d’informations d’identification.
- Sécurité API : application de la validation de schéma des appels API.
- Centre des opérations de sécurité (SOC) : surveille et maintient les alertes en cas de comportement anormal.
PCI DSS 4,0 exigence 12 : mettre en œuvre une politique qui traite de la sécurité des informations
L’exigence 12 concerne le maintien d’une politique qui traite de la sécurité de l’information pour tout le personnel. Cette politique doit inclure un engagement organisationnel envers la sécurité, les rôles et responsabilités en matière de sécurité et les procédures opérationnelles qui sont mises à jour régulièrement pour refléter les changements apportés aux objectifs opérationnels ou à l’environnement de risque.
Edgio répond à cette exigence avec les solutions suivantes:
- Centre des opérations de sécurité (SOC) : le SOC d’Edgio maintient un ensemble complet de processus pour la détection et la réponse gérées aux événements de sécurité. Ils peuvent déployer rapidement des règles à l’échelle du réseau en cas de vulnérabilités ou d’attaques zero-day. Ils maintiennent une politique de SLA complète pour la remontée et la réponse 24/7.
