PCI-Compliance-Vorgaben umsetzen
Immer mehr Unternehmen orientieren sich bei der Festlegung und Umsetzung der eigenen Security Policy an den hohen PCI-DSS-Compliance-Anforderungen
PCI-Zertifizierung unmöglich: Gerade im Bereich des Passwort-Managements setzen heute noch viele Unternehmen keine oder völlig unzureichende Lösungen ein
(31.03.10) - Seit Ende 2009 müssen auch E-Commerce-Händler mit weniger als einer Million Kreditkartentransaktionen pro Jahr die PCI-Regeln einhalten. Ein Großteil der PCI-Vorgaben könne dabei nach Ansicht von Cyber-Ark mit entsprechenden Passwort-Management-Lösungen, wie sie das Unternehmen anbiete, erfüllt werden. Die Cyber-Ark-Lösungen würden die automatische Verwaltung und Überwachung von privilegierten Benutzerkonten ermöglichen.
Die Einhaltung der strikten Datenschutzvorgaben der Kreditkartenindustrie, des Payment Card Industry Data Security Standard (PCI-DSS), steht heute auf der IT-Agenda der meisten Unternehmen, die Kreditkartentransaktionen speichern, übermitteln oder abwickeln, an oberster Stelle. Denn die Sicherheit von Kreditkartendaten liegt in Zeiten massiv steigender Datenschutzvorfälle im Interesse aller Unternehmen: nicht nur aus Image-Gründen, sondern auch im Hinblick auf Geldstrafen oder Schadensersatzforderungen in beträchtlicher Größenordnung.
Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: " Die Datenschutz-Richtlinien der Kreditkartenindustrie fordern von allen Unternehmen, die Kreditkartentransaktionen tätigen, ein striktes Passwort-Management. Als klarer Markttrend zeichnet sich zudem ab, dass sich immer mehr Unternehmen bei der Festlegung und Umsetzung der eigenen Security Policy an den hohen PCI-DSS-Anforderungen orientieren - auch diejenigen, die eigentlich nicht zur Berücksichtigung der PCI-Regelungen verpflichtet sind."
Gerade im Bereich des Passwort-Managements setzen heute noch viele Unternehmen keine oder völlig unzureichende Lösungen ein, die eine PCI-Zertifizierung unmöglich machen. Identische Passwörter oder solche, die nie geändert werden, bedeuten nämlich eine eindeutige Missachtung der PCI-Vorschriften. Das betrifft insbesondere privilegierte Accounts von IT-Administratoren, die einen uneingeschränkten Zugang zu allen geheimen und vertraulichen Datenbeständen ermöglichen.
Abgesehen von den Administratoren-Passwörtern werden auch die Software oder Application Accounts in der Regel vernachlässigt, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter. Änderungsintervalle werden nicht eingehalten und die Kennwörter liegen meistens im Klartext vor. Zudem sind sie häufig einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich.
Zur Erfüllung der PCI-Anforderungen bietet Cyber-Ark die Lösungssuite "Privileged Identity Management" an. Zentrales Produkt ist dabei der "Enterprise Password Vault", der die geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern sicherstellt. Mit der Lösung kann zudem eine Personalisierung von administrativen Shared Accounts erfolgen.
Damit ist eine Nachvollziehbarkeit der Verwendung eines generischen Accounts bis auf die Personenebene gewährleistet. Mit dem "Application Identity Manager", der ebenfalls zur Lösungssuite gehört, können Passwörter in Skripten oder Config-Files automatisch verwaltet und geändert werden.
Mit den Cyber-Ark-Lösungen werden nach Herstellerüberzeugung zentrale PCI-Sicherheitsanforderungen umgesetzt: von der periodischen Veränderung von Passwörtern auf Servern und Appliances bis hin zur Generierung, Sicherung und regelmäßigen Änderung der Encryption Keys, die zur Verschlüsselung der kreditkartenrelevanten Datenbankeinträge notwendig sind.
Außerdem wird - den PCI-Bestimmungen entsprechend - jeder Person mit Rechnerzugriff eine eindeutige ID zugewiesen. Das heißt, es ist möglich, die Verwendung von Systemkomponenten - insbesondere auch von administrativen Accounts aus - einem individuellen User zuzuordnen.
PCI-konform werden mit den Cyber-Ark-Lösungen auch alle Zugriffe auf Daten von Kreditkarteninhabern geprüft und die Passwortnutzung detailliert und damit revisionssicher protokolliert. (Cyber-Ark: ra)
Cyber-Ark: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>