Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv Security & Safety
Home Produkte Security Management

Produkte


Archivierung Compliance-Management Datenmanagement Dokumentation DMS und ECM E-Mail-Security Finanz-Lösungen Geschäfts-/IT-Prozess-Management Identity Management IT Governance-Management Netzwerkmanagement Risk Management Screening-Lösungen Security Management Security-Lösungen Servicemanagement Signatur-Lösungen Storage Management und Daten-Backup Storage-Systeme Systemmanagement & IT Management Überwachung & Analyse Verschlüsselung sonstige

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

PCI-Compliance-Vorgaben umsetzen


Immer mehr Unternehmen orientieren sich bei der Festlegung und Umsetzung der eigenen Security Policy an den hohen PCI-DSS-Compliance-Anforderungen
PCI-Zertifizierung unmöglich: Gerade im Bereich des Passwort-Managements setzen heute noch viele Unternehmen keine oder völlig unzureichende Lösungen ein

Anzeige

(31.03.10) - Seit Ende 2009 müssen auch E-Commerce-Händler mit weniger als einer Million Kreditkartentransaktionen pro Jahr die PCI-Regeln einhalten. Ein Großteil der PCI-Vorgaben könne dabei nach Ansicht von Cyber-Ark mit entsprechenden Passwort-Management-Lösungen, wie sie das Unternehmen anbiete, erfüllt werden. Die Cyber-Ark-Lösungen würden die automatische Verwaltung und Überwachung von privilegierten Benutzerkonten ermöglichen.

Die Einhaltung der strikten Datenschutzvorgaben der Kreditkartenindustrie, des Payment Card Industry Data Security Standard (PCI-DSS), steht heute auf der IT-Agenda der meisten Unternehmen, die Kreditkartentransaktionen speichern, übermitteln oder abwickeln, an oberster Stelle. Denn die Sicherheit von Kreditkartendaten liegt in Zeiten massiv steigender Datenschutzvorfälle im Interesse aller Unternehmen: nicht nur aus Image-Gründen, sondern auch im Hinblick auf Geldstrafen oder Schadensersatzforderungen in beträchtlicher Größenordnung.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: " Die Datenschutz-Richtlinien der Kreditkartenindustrie fordern von allen Unternehmen, die Kreditkartentransaktionen tätigen, ein striktes Passwort-Management. Als klarer Markttrend zeichnet sich zudem ab, dass sich immer mehr Unternehmen bei der Festlegung und Umsetzung der eigenen Security Policy an den hohen PCI-DSS-Anforderungen orientieren - auch diejenigen, die eigentlich nicht zur Berücksichtigung der PCI-Regelungen verpflichtet sind."

Gerade im Bereich des Passwort-Managements setzen heute noch viele Unternehmen keine oder völlig unzureichende Lösungen ein, die eine PCI-Zertifizierung unmöglich machen. Identische Passwörter oder solche, die nie geändert werden, bedeuten nämlich eine eindeutige Missachtung der PCI-Vorschriften. Das betrifft insbesondere privilegierte Accounts von IT-Administratoren, die einen uneingeschränkten Zugang zu allen geheimen und vertraulichen Datenbeständen ermöglichen.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Abgesehen von den Administratoren-Passwörtern werden auch die Software oder Application Accounts in der Regel vernachlässigt, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter. Änderungsintervalle werden nicht eingehalten und die Kennwörter liegen meistens im Klartext vor. Zudem sind sie häufig einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich.

Zur Erfüllung der PCI-Anforderungen bietet Cyber-Ark die Lösungssuite "Privileged Identity Management" an. Zentrales Produkt ist dabei der "Enterprise Password Vault", der die geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern sicherstellt. Mit der Lösung kann zudem eine Personalisierung von administrativen Shared Accounts erfolgen.

Damit ist eine Nachvollziehbarkeit der Verwendung eines generischen Accounts bis auf die Personenebene gewährleistet. Mit dem "Application Identity Manager", der ebenfalls zur Lösungssuite gehört, können Passwörter in Skripten oder Config-Files automatisch verwaltet und geändert werden.

Mit den Cyber-Ark-Lösungen werden nach Herstellerüberzeugung zentrale PCI-Sicherheitsanforderungen umgesetzt: von der periodischen Veränderung von Passwörtern auf Servern und Appliances bis hin zur Generierung, Sicherung und regelmäßigen Änderung der Encryption Keys, die zur Verschlüsselung der kreditkartenrelevanten Datenbankeinträge notwendig sind.

Außerdem wird - den PCI-Bestimmungen entsprechend - jeder Person mit Rechnerzugriff eine eindeutige ID zugewiesen. Das heißt, es ist möglich, die Verwendung von Systemkomponenten - insbesondere auch von administrativen Accounts aus - einem individuellen User zuzuordnen.

PCI-konform werden mit den Cyber-Ark-Lösungen auch alle Zugriffe auf Daten von Kreditkarteninhabern geprüft und die Passwortnutzung detailliert und damit revisionssicher protokolliert. (Cyber-Ark: ra)

Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -


Meldungen: Security Management

Web-basierte Firewall-Log-Analyse-Software Der "Firewall Analyzer" von ManageEngine bietet in der neuen Version 7.1 zahlreiche neue Funktionen. Der Hersteller hat in die web-basierte Firewall-Log-Analyse-Software eine Änderungsverwaltung für die Konfiguration von Security Devices integriert. Des Weiteren können Nutzer jetzt Firewall-spezifische Sicherheits-Audits und Compliance-Reports einsetzen. Dadurch lässt sich erkennen, welche Person welche Änderungen an den Firewall-Konfigurationen vorgenommen hat.

Information Management und Governance Eines der Hauptziele für Verantwortliche in den Bereichen IT-Sicherheit und Information Management ist es, Policies zu definieren, die unstrukturierte Daten effektiv verwalten und schützen. Nogacom kündigte die Version 3.7 von "NogaLogic" an. Diese bietet zentralisierte Policy Managament-Funktionen zur Automatisierung von Informations-Management Aufgaben.

Schwachstellen in Unternehmensnetzwerken secunet widmet den ersten Messetag it-sa 2010 (19. bis 21. Oktober 2010 in Nürnberg, Halle 12, Stand 455) der Sicherheitsanalyse von Netzwerken. Am Pentest-Tag zeigen die IT-Sicherheitsexperten den Besuchern, wie sie Schwachstellen in Unternehmensnetzwerken finden und beseitigen.

Compliance und Security Monitoring Imperva, Anbieterin von Data Security- und Compliance-Lösungen, stellt auf der Nürnberger Security-Messe it-sa (19. bis 21. Oktober 2010, Stand 223) die Data Security- und Compliance-Suite "SecureSphere". Mit ihr sollen sich Unternehmen, Regierungsorganisationen und Managed-Services-Anbieter vor dem Diebstahl sensibler Daten schützen können.

Compliance-Lösungen fürs Cloud Computing Die "RSA Solution für Cloud Security und Compliance" von der EMC-Division RSA, soll Kunden beim umfassenden Sicherheits-, Risiko- und Compliance-Management von Cloud Computing-Infrastrukturen unterstützen.

PCI-Compliance-Vorgaben umsetzen Seit Ende 2009 müssen auch E-Commerce-Händler mit weniger als einer Million Kreditkartentransaktionen pro Jahr die PCI-Regeln einhalten. Ein Großteil der PCI-Vorgaben könne dabei nach Ansicht von Cyber-Ark mit entsprechenden Passwort-Management-Lösungen, wie sie das Unternehmen anbiete, erfüllt werden. Die Cyber-Ark-Lösungen würden die automatische Verwaltung und Überwachung von privilegierten Benutzerkonten ermöglichen.

Identity Lifecycle und Datensicherheit CA brachte drei Sicherheitsprodukte auf den Markt, die die Datensicherheit weiter erhöhen und für eine schnelle Wertschöpfung der Identitäts-Management-Software sorgen soll. Gleichzeitig sollen sie das Risiko von Unternehmen, Sicherheitsbestimmungen zu verletzen, verringern und die Einhaltung von Compliance-Vorgaben verbessern.

Flexible Auditierung von Passwort-Vorgängen Wer hat wann und wo versucht, ein Administrator-Passwort im Unternehmen zu ändern? Derartig sicherheitsrelevante Fragen können mit dem neuen Release "Tesis|Aspr 3.6" von Tesis Sysware für automatisierten und sicheren Passwort-Reset beantwortet werden. Alle wesentlichen Passwort-Ereignisse werden revisionssicher gespeichert und stehen für Auswertungen zur Verfügung.

PCI-Compliance im WLAN-Bereich Aruba Networks, Anbieterin von Wireless LANs (WLANs) und sicheren Mobilitätslösungen, hat die Version 6.2 ihrer "AirWave Wireless Management Suite" vorgestellt. Die neue Managementlösung enthält jetzt eine Berichtsfunktion, die das Einhalten des Payment Card Industry (PCI) Data Security Standard (DSS) protokolliert.

Authentisierung und Zugangsmanagement Im Rahmen ihrer Partnerschaft mit Amag Technology wird Imprivata ihre "OneSign"-Appliance-Plattform jetzt mit den Zugangskontroll- und Sicherheitsmanagementsystemen von Amag koppeln. Mit dieser gemeinsamen Lösung können Unternehmen ganz bequem auf der Grundlage des Standortes den Zugang zu ihren IT-Netzwerken gewähren oder einschränken. Sie schützen dabei nicht nur ihre Unternehmensdaten, sondern verfügen gleichzeitig über alle erforderlichen Tracking- und Reporting-Möglichkeiten zur Erfüllung wichtiger Sicherheitsvorschriften und Compliance-Vorschriften.

Druckbare Version

Compliance-Lösungen fürs Cloud Computing Identity Lifecycle und Datensicherheit