Umsetzung von PCI DSS 4.0 und Anforderung 6.4.2

Die großen Kreditkartenunternehmen, darunter Visa, MasterCard und American Express, haben den Payment Card Industry Data Security Standard (PCI DSS) ins Leben gerufen, um die Daten von Karteninhabern zu schützen. PCI DSS bietet einen umfassenden Rahmen zum Schutz von Zahlungskartendaten über den gesamten Lebenszyklus hinweg, von der Dateneingabe über die Speicherung bis hin zur Übertragung, und betrifft alle Stellen, die Zahlungskarten akzeptieren oder verarbeiten.

Der PCI Security Standards Council hat am 31. März 2022 Version 4.0 angekündigt, deren Anforderungen größtenteils am 25. März 2025 in Kraft treten. Die aktualisierte Version bietet zusätzliche technische und betriebliche Anforderungen, die darauf abzielen, Kontodaten zu schützen und Schwachstellen zu beheben, die in der vorherigen Version (3.2.1) identifiziert wurden. Eine wichtige Aktualisierung des Standards ist die Anforderung 6.4.2, die einige Unternehmen dazu zwingt, Technologien zur Verbesserung der Sicherheit ihrer Anwendungen einzuführen.

Was ist die PCI DSS 4.0 Anforderung 6.4.2?

Die Anforderung 6.4.2 aktualisiert die Anforderung 6.6 in der vorherigen Version des Standards (Bild 1).

In Version 3.2.1 wurden Web Application Firewalls (WAFs) empfohlen und Penetrationstests als zulässig bezeichnet. Bis zum 25. März 2025 müssen jedoch alle Unternehmen, die sich dem PCI DSS verschrieben haben, eine WAF vor ihre öffentlich zugänglichen Webanwendungen schalten, um Angriffe zu erkennen und zu verhindern. 

Obwohl 6.4.2 die Bereitstellung eines Zusatzbudgets für eine WAF erforderlich macht, sofern noch keine vorhanden ist, kann eine solche Anschaffung weitreichende Folgen haben, wenn ein herkömmlicher WAF-Anbieter ausgewählt wird, dessen Einführung eine Herausforderung darstellt. Bei anderen WAFs müssen Unternehmen gegebenenfalls zusätzliche Mitarbeiter und Ressourcen einplanen, da DevSecOps-Teams regelmäßig mit Fehlalarmen konfrontiert werden, Tausende von Regelanpassungen vornehmen und versuchen müssen, datengestützte Einblicke zu gewinnen.  Das Schlimmste ist allerdings, dass viele herkömmliche WAFs legitimen Traffic blockieren oder Anwendungen lahmlegen, was sich auf den Umsatz und den Ruf des Unternehmens auswirkt.

Egal ob Sie über den erstmaligen oder den erneuten Einsatz einer WAF nachdenken, die Fastly Next-Gen WAF ist die ideale Lösung für die Anforderung 6.4.2.

Erfüllung der Anforderung 6.4.2 mit der Fastly Next-Gen WAF

Die Anforderung 6.4.2 beschreibt vier Mindestanforderungen, die Fastly’s Next-Gen WAF alle mühelos übertrifft:

Die Fastly Next-Gen WAF übertrifft die Mindestanforderungen von 6.4.2 und bietet fortschrittlichen Web-App- und API-Schutz (WAAP) für Ihre Anwendungen, APIs und Microservices. Der Schutz geht über die Injection-Angriffe der OWASP Top 10 (dem mindestens untersuchten Gegenstand einer Prüfung) hinaus, denn mit dieser integrierten Komplettlösung werden selbst komplexe Bedrohungen verhindert – von Account Takeover (ATO) über Credential Stuffing bis hin zu bösartigen Bots, API-Missbrauch und vielem mehr.

Für Unternehmen, die in Vorbereitung auf die Anforderung 6.4.2 eine WAF einführen, stellt die Next-Gen WAF einen nahtlosen Übergang zur Anwendungssicherheit dar, der flexibel, präzise und einfach zu bedienen ist.

Holen Sie sich eine flexible WAF für die Anforderung 6.4.2

Moderne Unternehmen betreiben komplexe Technologie-Stacks, die Flexibilität erfordern. Nichtsdestotrotz verfolgen zahlreiche herkömmliche Anbieter mit ihren Produkten oft ein Einheitskonzept. Während diese Anbieter Ihnen die Anpassung ihrer Produkte an Ihre individuellen Anforderungen erschweren, passt sich die Next-Gen WAF von Fastly Ihren Bedürfnissen an. Sie lässt sich in fast jeder Umgebung implementieren, mit dutzenden beliebten DevOps- und Security-Tools integrieren und auf Ihre individuellen Sicherheitsanforderungen abstimmen. Im Gegensatz zu anderen WAFs, die sich nur in bestimmten Architekturen einsetzen lassen, sorgt die Flexibilität der Next-Gen WAF dafür, dass sie in jeden Stack integriert werden kann, ohne Silos in Ihrer DevSecOps-Pipeline zu schaffen.

Holen Sie sich eine genaue WAF für die Anforderung 6.4.2

Sicherheitsteams, die eine WAF suchen, die fortschrittlichen Schutz ohne unnötige Mühen bietet, entscheiden sich für Fastly. Die eigens entwickelte SmartParse-Technologie der Next-Gen WAF ermöglicht hochpräzise Entscheidungen, was zu weniger Fehlalarmen führt als bei anderen Lösungen. Die Erkennung ist bei der Next-Gen WAF so genau, dass für den Betrieb nur ein Bruchteil der bisherigen internen Ressourcen benötigt wird. Dies ist auch einer der Hauptgründe, warum fast 90 %¹ unserer Kunden die WAF komplett im Blocking Mode betreiben – weit mehr als der Branchendurchschnitt. Während andere WAFs einen enormen Zeitaufwand für die regelmäßige Triage von False Positives und für das Feintuning erfordern, versetzt die Next-Gen WAF Unternehmen aufgrund ihrer Genauigkeit in die Lage, weniger Ressourcen für die Triage von Fehlalarmen aufwenden zu müssen und mehr Zeit in Initiativen stecken zu können, die das Geschäftswachstum vorantreiben.

Holen Sie sich eine nutzerfreundliche WAF für die Anforderung 6.4.2

Die Anschaffung einer WAF ist der erste Schritt zur Erfüllung von Anforderung 6.4.2, und diese Entscheidung hat langfristige Auswirkungen auf Sicherheitsteams. Bei herkömmlichen Anbietern erfolgt die Erkennung und Blockierung über Tausende von Regeln, die von Sicherheitsteams gemanagt und abgestimmt werden müssen. Die Fastly Next-Gen WAF verfolgt hingegen einen ganz anderen Ansatz.

Anstatt wie viele herkömmliche WAFs mühsam mit regulären Ausdrücken zu arbeiten, arbeitet sie mit ihrer proprietären SmartParse-Technologie anhand von Signalen (Bild 2).

Signale geben klare Hinweise auf tatsächliche Angriffe und lassen sich mit unseren intelligenten Tools integrieren, um mittels Warnmeldungen oder Blockierung dagegen vorzugehen. Unternehmen nutzen Signale im Rahmen unserer schwellenwertbasierten Blockierungsmethode, um die Wahrscheinlichkeit von Blockierungsentscheidungen mit Auswirkungen auf legitimen Traffic zu verringern. Diese Abkehr von herkömmlichen Methoden ermöglicht es Unternehmen, in den Blocking Mode zu wechseln und Vertrauen in ihre Entscheidungen zu gewinnen, bevor sie im Laufe der Zeit zur sofortigen Blockierung übergehen. Es sei auch erwähnt, dass andere WAFs die Überprüfung von Blockierungsentscheidungen erschweren, was zu unbeabsichtigten Auswirkungen auf legitimen Traffic führt. Die Next-Gen WAF bietet hingegen Einblicke und Tools, mit denen Sie Ihr Unternehmen ohne Auswirkungen auf Ihren legitimen Traffic schützen können.

Treffen Sie die richtige Wahl für Anforderung 6.4.2 und darüber hinaus

Die Next-Gen WAF von Fastly ist die klare Wahl für Unternehmen, die eine WAF einführen, um die neuen Anforderungen der Version 4.0, wie 6.4.2, zu erfüllen, und hilft dabei, bestehende Anforderungen wie 6.4.1 und 6.3.3 zu erfüllen.  Die robusten Fähigkeiten und die benutzerfreundliche Funktion ermöglichen es Unternehmen, ihre Apps, APIs und Microservices unabhängig von Fachwissen oder Ressourcen einfach zu schützen. Kontaktieren Sie uns, um eine Demo zu sehen oder mehr darüber zu erfahren, wie Fastly Ihnen bei der Erfüllung von PCI DSS-Anforderungen helfen kann.

¹: Nahezu 90 % der Next-Gen WAF-Kunden arbeiten seit März 2023 komplett im Blocking Mode