Die bevorstehende Frist für den PCI DSS 4.0 am 31. März 2025 rückt immer näher. Mit ihr wird alles, was in Version 4.0 im März 2022 angekündigt wurde, in Stein gemeißelt. Hier erklären wir alles, was Sie wissen müssen, um auf diese bevorstehende Frist vorbereitet zu sein.
Was ist PCI DSS 4.0?
Auf einer höheren Ebene verstärkt PCI DSS 4.0 die Sicherheitsmaßnahmen in Bezug auf Authentifizierung, Verschlüsselung und Überwachung für Unternehmen, die Zahlungskarten verarbeiten. Dazu gehören Dinge wie:
Multi-Faktor-Authentifizierung für Mitarbeitende, die auf Kartendaten zugreifen
Strengere Passwortanforderungen für Systeme
Mehr Sicherheitskontrollen und Warnmeldungen für Sicherheitsteams
Gründlichere Risikobewertungen und umfassenderes Risikomanagement
All dies sind typische Sicherheitsmaßnahmen für jedes Unternehmen, sodass es leicht ist, die Einhaltung des PCI DSS als eine reine Formsache für das Audit-Team zu betrachten. Für viele Unternehmen ist das der Punkt, an dem es beginnt und endet. Aber es steckt noch mehr dahinter.
Warum wir eine verbesserte Sicherheit in PCI DSS 4.0 benötigen
Ein wesentlicher Grund für die verstärkten Sicherheitsmaßnahmen in PCI DSS 4.0 ist die Zunahme ausgeklügelter Cyber-Angriffe, die darauf abzielen, Zahlungskartendaten zu stehlen.
Der Diebstahl von Zahlungskarten ist kein neues Problem – Sie tragen Ihre Kreditkarten vielleicht in einer RFID-geschützten Brieftasche bei sich oder wählen eine Tankstelle, die mobile Zahlungen akzeptiert, nur für den Fall, dass ein versteckter Magnetkartenleser an der Zapfsäule angebracht ist, der bereit ist, Ihre Kreditkartendaten zu stehlen. Aber wie sieht es auf Ihrer Website aus?
Niemand möchte ein Restaurant besuchen, das vom Gesundheitsamt mit einer mittelmäßigen Bewertung versehen wurde. Wenn Ihre Website dazu führt, dass Kunden ihre Kreditkartendaten an Betrüger weitergeben, riskieren Sie, diese Kunden dauerhaft zu verlieren.
Aber es gibt eine gute Nachricht! Sie können in wenigen Minuten einen bedeutenden Schritt zur Erreichung Ihrer Compliance-Ziele unternehmen.
Warum Organisationen eine WAF benötigen
Gemäß den Anforderungen des PCI DSS 4.0 müssen Unternehmen bis zum 31. März 2025 eine Web Application Firewall (WAF) beschaffen und implementieren. WAFs sind ein entscheidendes Element im Puzzle der Anwendungssicherheit, aber sie können sowohl für Sicherheits- als auch für Entwicklerteams eine erhebliche Belastung sein.
Viele WAFs auf dem heutigen Markt erzeugen eine hohe Anzahl von False Positives und erfordern lange, mühsame Anpassungsphasen, um unnötige Benachrichtigungen zu vermeiden. Schlimmer noch, viele von ihnen sind dafür bekannt, legitimen Traffic zu blockieren oder Anwendungen zu stören, was zu Frustration bei den Benutzern führt und sich auf den Gewinn auswirkt.
Die Fastly Next-Gen WAF ist eine ideale Lösung, um die PCI DSS 4.0-Anforderung 6.4.2 zu erfüllen, die besagt:
Für öffentlich zugängliche Webanwendungen wird eine automatisierte technische Lösung bereitgestellt, die kontinuierlich webbasierte Angriffe erkennt und verhindert und dabei mindestens Folgendes umfasst:
Vorschaltung vor öffentlich zugänglichen Webanwendungen sowie Konfiguration, die die Erkennung und Abwehr webbasierter Angriffe ermöglicht
Aktiv und auf dem neuesten Stand (soweit zutreffend)
Erstellung von Audit Logs
Konfiguration zur Blockierung webbasierter Angriffe oder Ergreifen von Sofortmaßnahmen bei automatischer Benachrichtigung
Unsere Next-Gen WAF kann Ihnen helfen, diese Anforderungen zu erfüllen, und bietet fortschrittlichen Web-App- und API-Schutz (WAAP) für Ihre Anwendungen, APIs und Microservices. Aber es gibt viele weitere Gründe, die Fastly Next-Gen WAF zu schätzen.
Unsere firmeneigene SmartParse-Technologie ersetzt das mühsame, auf Regex basierende Tuning und ermöglicht hochpräzise Entscheidungen, was zu weniger False Positives führt als bei anderen WAF-Lösungen. Deshalb betreiben über 90 % unserer Kunden die WAF komplett im Blocking Mode und können darauf vertrauen, dass sie vor böswilligen Akteuren geschützt sind, ohne Gefahr zu laufen, legitimen Traffic zu stören.
Auch die Entwickler lieben unsere Lösung. Die Fastly Next-Gen WAF lässt sich flexibel in jeder Umgebung bereitstellen und kann Apps und APIs schützen, wo auch immer sie sich befinden – in Containern, auf den eigenen Servern, in der Cloud oder auf der Edge. Während andere WAFs Innovationen behindern können, sorgt die Flexibilität und Genauigkeit der Fastly Next-Gen WAF dafür, dass sie sich nahtlos in jeden DevSecOps-Stack integrieren lässt und die Sicherheit für alle vereinfacht.
Das Beste daran ist, dass sie in nur zehn Minuten bereitgestellt werden kann und die durchschnittliche Zeit bis zur vollständigen Blockierung 60 Minuten beträgt. Angesichts der nahenden PCI DSS-Frist zählt jede Minute.
Wie Fastly bei der PCI-Compliance helfen kann
Die Fastly Next-Gen WAF kann Unternehmen dabei helfen, die neuesten PCI-Datensicherheitsstandards einzuhalten und so die Einhaltung der Vorschriften zu vereinfachen, ohne Ihre Sicherheit zu gefährden.
Stellen Sie sicher, dass Sie eine Erinnerung für die Frist am 31. März 2025 setzen, und bleiben Sie dran, um mehr darüber zu erfahren, wie Sie Ihre Verteidigung gegen clientseitige Angriffe stärken können.
