PCI-COMPLIANCE

MIT CONTRAST SECURITY

PCI-DSS-ANFORDERUNGEN FÜR ANWENDUNGSSICHERHEIT

Erfüllen Sie mit der schnellsten Suite der Welt in puncto Schwachstellenerkennung und -beseitigung ohne Umschweife die Anforderungen für PCI-Compliance. Contrast Security wurde unabhängig auf die Einhaltung der PCI-Anforderungen überprüft und hat Schlüsselaspekte der PCI-Standards automatisiert. Dieser Product-Applicability-Guide behandelt Abschnitte von PCI DSS v3.2.1, PA-DASS v3.2 und des PCI-Software-Security-Frameworks v1.0.

 

coalfire-logo

"Contrast Assess und Contrast Protect können einige der herkömmlichen Ansätze zum Assessment und Schutz von Anwendungen ersetzen … Die Funktionen von Contrast Protect ermöglichen es, Software mit höherer Präzision zu schützen, als dies mit traditionellen Softwaresicherheitsansätzen (wie etwa Web Application Firewalls) möglich ist."

Coalfire

CONTRAST ASSESS

Automatisierte Schwachstellenerkennung über IAST, ganz ohne fachmännische Sicherheitsexpertise. Assess transformiert reguläre Nutzungsroutinen in Sicherheitstests, um Risiken in der Anwendung zu identifizieren, zu verfolgen und zu priorisieren. Eine integrale Komponente des PCI-Secure-Software-Standards.

CONTRAST PROTECT

Automatisierte Abwehrmaßnahmen, die im Inneren der Software durchgeführt und skaliert werden, um anderweitig erfolgreiche Angriffe zu verhindern. Schützen Sie laufende Software als Teil Ihrer PCI-DSS- und PA-DSS-Operations vor Attacken.

UNABHÄNGIGER APPLICABILITY-GUIDE

Contrast Security wurde unabhängig auf Einhaltung der PCI-Erfordernisse überprüft.

Unternehmen, welche die Einhaltung der PCI-Standards administrieren möchten, können die Produkte von Contrast Security mit einigen Operational Practices kombinieren, um die PCI-Compliance bei Zahlungsanwendungen zu verwalten.

Der Product-Applicability-Guide wurde von Coalfire erstellt, einer anerkannten Qualified Security Assessor Company (QSAC) in den Segmenten Payment Card Industry (PCI) und Payment Application (PA)

6.1 – SICHERHEITSSCHWACHSTELLEN IDENTIFIZIEREN

Contrast Assess unterstützt Unternehmen dabei, Schwachstellen innerhalb ihres Entwicklungslebenszyklus zu identifizieren und zu priorisieren.

Contrast Security bindet an den richtigen Stellen leistungsfähige Erkennungstechnologie in die Anwendungen ein, wodurch aus bestehenden Anwendungstests effektive Sicherheitstests werden. Im Vergleich zu anderen Ansätzen erfordert Contrast Security weniger Zeit und Expertise, um mehr Schwachstellen mit höherer Genauigkeit zu identifizieren.

6.2 – SCHWACHSTELLEN VERTEIDIGEN

Contrast Protect kann zahlreiche Schwachstellen sofort beheben und bietet darüber hinaus virtuelle Patches, um die Software vor bislang unbekannten Zero-Day-Exploits zu schützen.

Dank des In-App-Vorteils von Contrast Protect können gefährdete Bereiche vor ernsten Exploits geschützt werden, ohne dass die reguläre Nutzung beeinträchtigt wird. Sensoren im Inneren der Anwendung ersetzen signaturbasierte Erkennung mit kontextueller Verifizierung, die zwischen Attack-Probes und verwundbaren Stellen unterscheiden kann.

Contrast Assess und Contrast Protect bieten fortlaufendes Assessment und kontinuierlichen Schutz für Anwendungen. Die Einbindung der Contrast-Security-Plattformsensoren in die Anwendung ermöglicht dieser, sich durchgehend selbst zu überprüfen und zu schützen. In einer Produktionslaufzeitumgebung sollte nur Contrast Protect aktiviert werden.

ABSCHNITT 6 ERWEITERT

Die genaue Erkennung des „Runtime Application Self Protection“-Ansatzes (RASP) von Contrast Security ermöglicht einfache Integration mit Defect-Tracking-Tools wie JIRA und Evidence Collection durch QSAs als Teil des Abschnitts 6.3.2b. Funktionen wie Log Enhancement ermöglichen es Teams, Informationen zu sammeln, die einem SIEM sonst nicht zur Verfügung stehen. Es ist kein Eingreifen von Entwicklern oder Änderungen am Code erforderlich.

Contrast Assess erkennt verschiedene Datenbanktypen, einschließlich NoSQL-Datenbanken wie Couchbase, MongoDB und so weiter und kann deren jeweilige Injektionsprobleme ermitteln. Contrast Assess ist dazu in der Lage, diese Schwachstellen mit höherer Präzision und Gründlichkeit zu identifizieren als Tools zum Static Application Security Testing (SAST).

2.4 – INVENTARUMFANG

Warten Sie ein Inventar von Systemkomponenten, die von PCI DSS erfasst werden. Contrast Security bietet eine Live-Ansicht von Anwendungen, deren architektonischen Komponenten und der von ihnen genutzten Verbindungen.

Unternehmen können diese architektonische Ansicht mit anderen Systemen kombinieren, um den vollen Umfang jener Assets zu ermitteln, bei denen PCI-Compliance einschlägig ist.

10.2 – KOMPONENTEN VON DRITTANBIETERN

Der Secure Software Standard besagt, dass die Software und Komponenten von Drittanbietern vor dem Release auf Schwachstellen zu überprüfen und diese zu beheben sind. Anstatt einfach nur Bibliotheken und CVEs aufzulisten, nutzt Contrast Assess Laufzeiterkenntnisse aus der Software Composition Analysis, um festzustellen, welche Libraries tatsächlich als Teil der Anwendung geladen werden.

EXTERNE INTEGRATIONEN UND MEHR …

Die volle Abdeckung der PCI-Compliance umfasst zahlreiche Kontrollen, Technologien und Verfahren. Contrast Security kann in viele externe Systeme eingebunden werden, die Unternehmen im Rahmen der PCI-Compliance nutzen: JIRA, Slack, VictorOps, Visual Studio und einige mehr.

Zur Dashboard-Integration steht eine Contrast-Anwendung für Splunk zur Verfügung. Die höhere Präzision von Contrast Assess und Protect macht den Weg frei für eine robustere Umgebung und trägt damit zur Untersuchung von Vorfällen bei – ganz ohne die üblichen Falschmeldungen. Mit anderen SIEMs können Daten geteilt werden.

GRÖSSERE ABDECKUNG VON MEHR PCI-ANFORDERUNGEN

Lesen Sie den vollständigen Contrast Security PCI Product Applicability Guide.
PDF herunterladen
cta-background-image.png

SO EINFACH KÖNNEN ANGRIFFE ENTDECKT UND GESTOPPT WERDEN.

Machen Sie sich ein Bild der neuen Ära selbstschützender Software. Vereinbaren Sie Ihre persönliche Live-Demo.
Demo erhalten