erzielen Mit Hilfe von Identity and Access Management PCI-Compliance agility made



Ähnliche Dokumente
CA Access Control for Virtual Environments

Avira Server Security Produktupdates. Best Practice

ANYWHERE Zugriff von externen Arbeitsplätzen

Lizenzierung von System Center 2012

Account Information Security Programme - Allgemeine Informationen -

System Center Essentials 2010

Installationsanleitung CLX.PayMaker Office

Installationsanleitung CLX.PayMaker Home

Installationsanleitung CLX.PayMaker Office (3PC)

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

Nachricht der Kundenbetreuung

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

Test zur Bereitschaft für die Cloud

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Der beste Plan für Office 365 Archivierung.

2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation.

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Neuigkeiten in Outpost Firewall Pro 2008

Avira Management Console Optimierung für großes Netzwerk. Kurzanleitung

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.

In 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC

Installationsanleitung dateiagent Pro

Collax -Archivierung

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Neues Modul für individuelle Anlagen. Änderung bei den Postleitzahl-Mutationen

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

TeamViewer App für Outlook Dokumentation

ANLEITUNG GERÄTEREGISTRATION AN KRZ.SMK

Firewalls für Lexware Info Service konfigurieren

GFI-Produkthandbuch. Einschränkungen und Lizenzierungshandbuch für GFI MailArchiver- Archivierung

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Nutzungsbedingungen und Datenschutzrichtlinie der Website

CA Clarity PPM. Übersicht. Nutzen. agility made possible

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Collax Archive Howto

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Warenwirtschaft Handbuch - Administration

AdmiCash-Wiederherstellung auf einem neuen PC oder Betriebssystem

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Lizenzierung von Windows Server 2012

Installation & Konfiguration AddOn Excel Export Restriction

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

In 12 Schritten zum mobilen PC mit Paragon Drive Copy 11 und Microsoft Windows Virtual PC

Lizenzen auschecken. Was ist zu tun?

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Windows Server 2012 Manageability and Automation. Module 1: Standards Based Management with Windows Management Framework - Robust Automation

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Sicherheitsrichtlinien in Brainloop Secure Dataroom 8.30 erzwingen

Installationsanleitung. TFSInBox

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Installation Microsoft SQL Server 2008 Express

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Einrichten eines POP-Mailkontos unter Thunderbird Mail DE:

3 System Center Virtual Machine Manager 2012

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Erste Schritte mit Desktop Subscription

Installation & Konfiguration AddOn Excel Export Restriction

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

McAfee Security-as-a-Service -

Schritt-Schritt-Anleitung zum mobilen PC mit Paragon Drive Copy 10 und VMware Player

How to do? Projekte - Zeiterfassung

estos UCServer Multiline TAPI Driver

Eine Anleitung, wie Sie Mozilla Thunderbird 2 installieren und konfigurieren können. Installation Erstkonfiguration... 4

Task: Nmap Skripte ausführen

Benutzeranleitung Superadmin Tool

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

Vision für Mac BENUTZERHANDBUCH

EIDAMO Webshop-Lösung - White Paper

Mobilgeräteverwaltung

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Windows 8 Lizenzierung in Szenarien

Windows Small Business Server (SBS) 2008

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Step by Step Webserver unter Windows Server von Christian Bartl

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Cookies. Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Formular»Fragenkatalog BIM-Server«

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Transkript:

White Paper Die CA Technologies-Lösung für PCI-Compliance Februar 2012 Mit Hilfe von Identity and Access Management PCI-Compliance erzielen agility made made possible possible

Inhaltsverzeichnis Kurzfassung 3 Abschnitt 1: Ausgangssituation 4 Schutz vertraulicher Daten von Kreditkarteninhabern Abschnitt 2: Lösung 6 Erzielen von PCI-Compliance Abschnitt 3: Nutzen 14 2

executive summary Ausgangssituation PCI-Compliance ist inzwischen eine geschäftliche Anforderung, die alle Unternehmen erfüllen müssen, die Kreditkartendaten verarbeiten. Sie erfordert strenge Sicherheitsmaßnahmen für alle Systeme und Anwendungen, mit bzw. in denen Karteninhaberdaten verarbeitet oder gespeichert werden. Diese Maßnahmen dienen der Erzwingung von Zugriffsrechten für alle vertraulichen Informationen und der Identifizierung und Beseitigung von Bereichen, in denen es möglicherweise zu einer Offenlegung von Kreditkartendaten kommen kann. Der PCI Council hat neue Richtlinien für virtuelle Umgebungen erlassen, die neue Anforderungen für die PCI-Compliance beinhalten. Diese neuen Richtlinien verlangen Sicherheitsfunktionen, die von den ursprünglichen PCI-Richtlinien nicht berücksichtigt wurden. Chance Das Identity and Access Management (IAM) von CA Technologies bietet bewährte Lösungen zum Erzielen von PCI-Compliance. Sie tragen zum Schutz sämtlicher vertraulicher Karteninhaberdaten bei und erkennen und korrigieren Bereiche, in denen eine potenzielle Gefährdung vorliegt. Darüber hinaus ermöglichen diese Lösungen die effiziente Steuerung des Zugriffs auf Ihre Anwendungen, Systeme und Daten in physischen, virtuellen und Cloud-basierten Umgebungen. Vor allem bieten sie aber spezifische Sicherheitsfunktionen für virtuelle Umgebungen, die die Einhaltung der neuen Virtualisierungsrichtlinien vereinfachen. Nutzen Mit den IAM-Lösungen von CA Technologies können Sie Sicherheitsmaßnahmen einrichten, die zur Erzielung von PCI-Compliance beitragen. Der Zugriff auf sämtliche Karteninhaberdaten wird gesteuert und überwacht, Anwendungen werden vor Angriffen geschützt und Bereiche, in denen das Risiko einer Offenlegung besteht, werden auf effiziente Weise erkannt und korrigiert. Diese Lösungen bilden eine hervorragende Grundlage für ein umfassendes PCI-Compliance-Programm. 3

Abschnitt 1: Ausgangssituation Schutz vertraulicher Daten von Kreditkarteninhabern PCI-Compliance Einführung Der Payment Card Industry (PCI) Data Security Standard, kurz PCI genannt, geht auf eine Zusammenarbeit führender Kreditkartenunternehmen wie VISA, MasterCard, American Express und Discover zurück. Dieser Standard wurde gemeinsam erarbeitet, um einheitliche Sicherheitsstandards für die Kartenaussteller zu schaffen und den Karteninhabern garantieren zu können, dass ihre Kontodaten unabhängig von der zur Zahlung eingesetzten Karte sicher sind. Auch wenn gegen jeden Anbieter oder Service Provider, der gegen diese Bestimmungen verstößt, Geldstrafen verhängt werden können, besteht die empfindlichste Strafe darin, dem Anbieter das Recht zu verweigern, die Option zur Inanspruchnahme von Kreditkartenzahlungen zu nutzen. Eine derartige Strafe kann verheerende Folgen für ein Unternehmen haben. Zusammenfassung der PCI-Anforderungen Der PCI-Standard verlangt keine spezifischen Technologien oder Produkte. Er definiert vielmehr Best Practices für die Branche zur Verarbeitung, Weitergabe und Speicherung von Kreditkartendaten, um die Möglichkeiten eines nicht autorisierten Zugriffs auf diese Daten zu begrenzen. Viele der Anforderungen zielen auf eine Stärkung der Sicherheitsbereiche ab, um zu verhindern, dass Personen mit unlauteren Absichten auf interne Systeme oder Daten zugreifen, die Informationen zu Karteninhabern beinhalten. Allerdings machten Ereignisse wie der CardSystems-Skandal deutlich, dass schwerwiegende Sicherheitsverletzungen häufig auf das Konto von Insidern gehen. Aus diesem Grund umfasst der PCI-Standard eine Reihe von Anforderungen, die einzig und allein darauf abzielen, den Zugriff auf die vollständigen Kreditkartendaten von Kunden durch Mitarbeiter zu einzuschränken. Die Anzahl der Mitarbeiter, die die vollständige Kreditkartennummer einsehen können, wird beispielsweise streng auf die Personen begrenzt, die diese Informationen tatsächlich kennen müssen. Die Anforderungen des Standards sind in sechs Hauptkategorien unterteilt, die jeweils einige Unterkategorien aufweisen. In der folgenden Tabelle sind diese Kategorien und die wichtigsten Anforderungen aufgeführt: Kategorie Erstellen und Pflegen eines sicheren Netzwerks Anforderungen 1. Installieren und Pflegen einer Firewall-Konfiguration zum Schutz von Daten 2. Ändern der Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter nach der Werksauslieferung Schützen von Karteninhaberdaten 3. Schützen gespeicherter Daten 4. Verschlüsseln von Karteninhaberdaten und sensiblen Informationen bei der Übertragung in öffentlichen Netzwerken Einsetzen von Schwachstellenmanagementprogrammen 5. Verwenden und regelmäßiges Aktualisieren von Antivirensoftware 6. Entwickeln und Pflegen sicherer Systeme und Anwendungen 4

Implementieren strenger Kontrollmechanismen 7. Beschränken von Datenzugriffen auf das Notwendige 8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Computerzugriff 9. Beschränken des physischen Zugriffs auf Karteninhaberdaten Regelmäßiges Überwachen und Überprüfen von Netzwerken 10. Protokollieren und Überwachen sämtlicher Zugriffe auf Netzwerkressourcen und Karteninhaberdaten 11. Regelmäßiges Prüfen von Sicherheitssystemen und -prozessen Einhalten einer Richtlinie zur Informationssicherheit 12. Einführen einer Richtlinie in Bezug auf Informationssicherheit PCI DSS-Ergänzung zur Virtualisierung Im Juni 2011 veröffentlichte der PCI Council eine wichtige Ergänzung des PCI DSS V2.0-Standards das PCI DSS Virtualization Guidelines Supplement. Diese Ergänzung ist eine Reaktion auf die rasant vollzogene Einführung virtueller Umgebungen sowie auf die Notwendigkeit, die Anforderungen zum Schutz von Karteninhaberdaten auf virtuellen Maschinen und in virtuellen Umgebungen klarer zu spezifizieren. Die Ergänzung ist sehr umfassend und legt die Probleme und Anforderungen in Bezug auf den Schutz von Informationen in virtuellen Umgebungen dar. Das folgende Zitat veranschaulicht die Auswirkungen dieser neuen Richtlinien: [Die Richtlinien] gelten für eine gesamte VM, wenn diese zum Speichern, Verarbeiten oder Übertragen von Karteninhaberdaten dient oder zur Karteninhaberdaten-Umgebung (Cardholder Data Environment, CDE) eine Verbindung herstellt bzw. einen Einstiegspunkt bereitstellt. Unterliegt eine VM den Richtlinien, gelten diese auch für das zugrunde liegende Hostsystem und den Hypervisor, da beide direkt mit der VM verbunden sind und sich maßgeblich auf deren Funktionalität und Sicherheit auswirken. Dies stellt eine erhebliche Erweiterung (oder zumindest Klärung) der Anforderungen für die PCI-Compliance dar und bezieht auch Systeme und Komponenten ein (z. B. den Hypervisor), deren Status bisher weniger eindeutig war. Die Ergänzung umfasst einige Sicherheitsverfahren mit weiteren Empfehlungen zur Verbesserung der Erfüllung der PCI-Anforderungen. In einem Abschnitt (4.1.8) wird jedoch besonders auf virtuelle Umgebungen eingegangen. Dieser war in den bisherigen Versionen des Standards nicht enthalten. Diese Anforderung verlangt das Härten des Hypervisors und umfasst Technologieanforderungen wie diese: Beschränken des Einsatzes administrativer Funktionen auf festgelegte Endgeräte und Endpunkte in Netzwerken, beispielsweise bestimmte Laptops oder Desktops, deren Verwendung für einen derartiger Zugriff genehmigt wurde Obligatorische Mehrfachauthentifizierung für alle administrativen Funktionen Trennen von administrativen Funktionen, sodass Hypervisor-Administratoren keine Möglichkeiten zum Ändern, Löschen oder Deaktivieren von Hypervisor-Prüfprotokollen haben Trennen von Aufgabenbereichen für administrative Funktionen, sodass mit Authentifizierungsinformationen für den Hypervisor nicht auf Anwendungen, Daten oder einzelne virtuelle Komponenten zugegriffen werden kann Vor Implementierung einer Virtualisierungslösung: Überprüfen der von der Lösung unterstützten Sicherheitsmaßnahmen und deren Wirksamkeit bei der Minimierung von Risiken einer Gefährdung des Hypervisors 5

Letztlich zielen diese Anforderungen darauf ab, eine differenzierte Kontrolle der Aktionen von Benutzern mit besonderen Berechtigungen zu ermöglichen. Im nächsten Abschnitt wird darauf eingegangen, wie dies mit den Lösungen von CA Technologies umgesetzt werden kann. Abschnitt 2: Lösung Erzielen von PCI-Compliance PCI-Compliance beinhaltet eine Reihe von Anforderungen, die auf die Einrichtung einer sicheren Umgebung für die Weiterleitung und Verarbeitung persönlicher Karteninhaberdaten abzielen. Einige dieser Anforderungen beziehen sich ausschließlich auf Prozesse, aber die meisten können zusätzlich zu verbesserten Sicherheitsprozessen durch den Einsatz von Technologien umgesetzt oder unterstützt werden. Zu den PCI-Anforderungen, die mit den Sicherheitslösungen von CA Technologies (erste Erwähnung in Fettschrift) äußerst effizient erfüllt werden können, zählen die folgenden: Anforderung 2: Ändern der Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter nach der Werksauslieferung Zusammenfassung der Anforderung: Ändern Sie vor der Installation im Netzwerk immer die vom Hersteller vorgegebenen Standardeinstellungen. Entwickeln Sie Konfigurationsstandards für alle Systemkomponenten. Verschlüsseln Sie Administratorzugriffe, die nicht über eine Konsole erfolgen, mit Hilfe einer starken Kryptografie. CA Technologies-Lösung: CA ControlMinder Die Anforderungen in diesem Abschnitt sind weit gefasst, und es ist eher unwahrscheinlich, dass die Compliance hinsichtlich all ihrer Vorschriften mit einer einzigen Lösung erreicht werden kann. Allerdings bietet CA ControlMinder Funktionen, mit denen sich die Compliance erheblich vereinfachen und automatisieren lässt. Beispielsweise können mit CA ControlMinder die Passwörter von Benutzern mit besonderen Berechtigungen sofort geändert werden, um zu verhindern, dass für Administratorsystemkonten Standardpasswörter verwendet werden. Auch können Passwörter automatisch nach einem vordefinierten Zeitplan geändert werden, um sicherzustellen, dass Administratorpasswörter immer aktualisiert werden (Abschnitt 2.1). CA ControlMinder kann zudem so konfiguriert werden, dass die Administratoranmeldung mit Hilfe wirkungsvoller Algorithmen nach Branchenstandard verschlüsselt erfolgt (Abschnitt 2.3). Anforderung 6: Entwickeln und Pflegen sicherer Systeme und Anwendungen Zusammenfassung der Anforderung: Auf allen Systemkomponenten müssen die neuesten Sicherheitspatches der Hersteller installiert sein, und es müssen Prozesse vorhanden sein, mit denen sichergestellt wird, dass Anwendungen keine Schwachstellen aufweisen. CA Technologies-Lösung: CA SiteMinder Ein zentraler Aspekt von Abschnitt 6.5 der PCI-Standards ist die Notwendigkeit von Richtlinien für die sichere Codierung aller benutzerspezifischen Anwendungen, sodass keine Schwachstellen bestehen bzw. diese nicht ausgenutzt werden können. Dieser Abschnitt bezieht sich auf die Notwendigkeit einer Form der Codierung von Anwendungen, die Schwachstellen wie ungültige Eingaben, unzureichendes Sitzungsmanagement, Cross-Site Scripting-Angriffe, Pufferüberläufe und unzulässige Fehlerbehandlungen beseitigt. 6

CA SiteMinder stellt wichtige Funktionen bereit, mit denen einige dieser Anforderungen erfüllt werden können oder der damit verbundene Aufwand verringert werden kann. CA SiteMinder ermöglicht vor allem den sicheren Zugriff auf benutzerspezifische Anwendungen, sodass ausschließlich autorisierte Benutzer darauf zugreifen können. CA SiteMinder kann auf folgende Weise zum Schutz des Codes benutzerspezifischer Anwendungen beitragen: 1. Es filtert URLs, um Zugriffe mit Zeichen und Zeichenfolgen zu unterbinden, die möglicherweise schädlich für die Anwendung oder die Benutzer sind. Dadurch wird das Risiko von Cross-Site Scripting-Angriffen verringert, weil falsch formatierte URLs den Schutz für CA SiteMinder-Agenten nicht umgehen können. Bei Verwendung von CA SiteMinder sind keine Änderungen an Anwendungen erforderlich, um diese Vorteile zu nutzen. 2. Es bietet eine stabile Sitzungsmanagementfunktion, die verhindert, dass Benutzersitzungen von nicht autorisierten Benutzern gehackt werden, die auf die Ressourcen anderer Benutzer zugreifen wollen. 3. Es bietet ein zentralisiertes Konfigurationsmanagement, um die verteilte und somit weniger sichere Konfiguration zu beseitigen. Diese Funktion ermöglicht nicht nur eine verbesserte Anwendungssicherheit, sondern verringert auch den allgemeinen administrativen Aufwand und optimiert somit die administrative Skalierbarkeit von Anwendungsumgebungen. Kurz gesagt: Mit CA SiteMinder können Replay-Angriffe, gehackte Sitzungen, und Identitätsvortäuschungen verhindert und Webanwendungen geschützt werden. So bietet CA SiteMinder zuverlässige Funktionen, um sichere Anwendungen leichter entwickeln und bereitstellen zu können und die Compliance mit diesem Abschnitt des PCI-Standards zu erzielen. Anforderung 7: Beschränken von Datenzugriffen auf das Notwendige Zusammenfassung der Anforderung: Der Zugriff auf Systeme, Anwendungen und Daten (insbesondere Karteninhaberdaten) muss strikt auf die Personen beschränkt werden, die diese Informationen nachweislich abrufen müssen. CA Technologies-Lösungen: CA GovernanceMinder, CA SiteMinder, CA ControlMinder, CA IdentityMinder Zwar ist dies einer der kürzesten Abschnitte des PCI-Standards, dafür ist er aber sehr weit gefasst, und die Compliance ist im Vergleich zu den anderen Anforderungen des gesamten Standards vermutlich mit dem größten Aufwand verbunden. Mit Abschnitt 7.1.1 soll sichergestellt werden, dass Benutzern mit besonderen Berechtigungen ausschließlich die Rechte gewährt werden, die für die Erfüllung ihrer Aufgaben notwendig sind. CA GovernanceMinder unterstützt dies, indem es eine zentrale Schnittstelle für Administratoren bietet, über die sich die Benutzerberechtigungen durchsuchen und unangemessene Zuweisungen erkennen lassen. Außerdem kann es für die Festlegung von Richtlinien für die Identitäts-Compliance wie die Aufgabentrennung und für die Automatisierung von Prozessen zur Zertifizierung von Berechtigungen verwendet werden, um Benutzerrechte effizient zu validieren. Eine Folgerung aus den Anforderungen aus Abschnitt 7 ist, dass ein Rollenmanagementmechanismus vorhanden sein muss, um abhängig von den Verantwortlichkeiten des Benutzers den Zugriff auf geschützte Ressourcen zu steuern. Im Unterabschnitt 7.1.2 heißt es: Die Zuweisung von Berechtigungen hängt von der jeweiligen Tätigkeitskategorie und Funktion einer Person ab. Die erweiterten Analysefunktionen von CA GovernanceMinder minimieren den mit der Entwicklung eines präzisen Rollenmodells verbundenen Zeit- und Arbeitsaufwand, und die Lösung unterstützt die Verwaltung der Rollen während des gesamten Lebenszyklus. 7

Abschnitt 7.1.3 verlangt, dass das Management Anforderungen für Zugriffsberechtigungen explizit genehmigt und dies per Unterschrift erfolgt. CA GovernanceMinder unterstützt automatisierte Workflows für die Genehmigung von Berechtigungsanforderungen und Zugriffszertifizierungen. Die Automatisierung von Zertifizierungsprozessen ist von entscheidender Bedeutung, um bestätigen zu können, dass die bestehenden Zugriffsberechtigungen angemessen sind, insbesondere in Fällen, in denen der standardmäßige Provisionierungsprozess umgangen wurde. Abschnitt 7 verlangt, dass alle Rechenressourcen, die der Speicherung oder Verarbeitung von Kreditkartendaten dienen, ausschließlich Personen zur Verfügung stehen, deren Funktion den Zugriff auf diese Daten erfordert. Der Begriff Ressourcen ist vollkommen allgemein zu verstehen, und entsprechende Lösungen müssen den Schutz aller betreffenden Ressourcen ermöglichen, um Compliance zu erzielen. Vor allem der Zugriff auf Webanwendungen, Unternehmensanwendungen, Hostsysteme, Datenbanken, Systemdateien, wichtige Systemservices und sogar die Zugriffsberechtigungen von Superusern müssen streng kontrolliert werden. Lösungen, die keinen Schutz für diese Ressourcen bieten, sind nicht dafür geeignet, die Ziele dieser Anforderung umzusetzen. CA SiteMinder ist eine branchenführende Lösung für das Zugriffsmanagement von Webanwendungen. Es können problemlos spezifische Richtlinien definiert werden, um sicherzustellen, dass nur befugte Personen auf die Anwendungen zugreifen, mit denen vertrauliche Kreditkartendaten verarbeitet werden. Der Zugriff von Benutzern mit besonderen Berechtigungen auf Hostsysteme, mit denen Kreditkartendaten verarbeitet werden, muss ebenfalls streng kontrolliert werden. Unabhängig davon, ob unangemessenes Verhalten von solchen besonders berechtigten Benutzern absichtlich oder versehentlich erfolgt: Es kann verheerende Konsequenzen für den IT-Betrieb und die allgemeine Sicherheit und Gewährleistung des Schutzes von Unternehmensressourcen und Informationen nach sich ziehen. Es ist daher entscheidend, dass diese Benutzer nur Aktionen ausführen können, die sie aufgrund ihrer Funktion ausführen müssen und nur für die entsprechenden Ressourcen. CA ControlMinder ist eine führende Lösung für die Verwaltung von Benutzern mit besonderen Berechtigungen, die den Zugriff auf Hostsysteme und wichtige Daten und Dateien steuert, die in diesen Systemen gespeichert sind. Es können Richtlinien festgelegt werden, um sicherzustellen, dass nur entsprechend autorisierte Benutzer Zugriff auf derartige Systeme oder Ressourcen erhalten. So erweitert CA ControlMinder die grundlegenden Sicherheitsfunktionen, die von jedem Betriebssystem unterstützt werden, und bietet erweiterte, einheitliche und differenziertere Sicherheitsfunktionen für die Systeme in Ihrer Umgebung. Unabhängig von den jeweils zur Steuerung des Zugriffs auf Karteninhaberdaten angewendeten Methoden ist eine stabile Infrastruktur für die Verwaltung der Benutzerberechtigungen erforderlich. Um sicherzustellen, dass alle Benutzerkonten und Zugriffsrechte ordnungsgemäß erstellt und gewährt werden, ist eine zentralisierte Identitätsmanagementlösung vonnöten, und die vollständig prüffähige und zuverlässige CA IdentityMinder-Lösung bietet eine integrierte Identitätsmanagementplattform zur Automatisierung der Erstellung, Änderung und Stilllegung von Benutzeridentitäten und dem damit verbundenen Zugriff auf Unternehmensressourcen, um das Sicherheitsniveau und die Compliance zu verbessern. Diese vier Lösungen sind wesentliche Bestandteile der Gesamtlösung für das Identity and Access Management von CA Technologies. Die Lösungen bieten Funktionen für die Identitätsverwaltung und Provisionierung, das Rollenmanagement, die Identitätszertifizierung, das Webzugriffsmanagement und die Verwaltung von Benutzern mit besonderen Berechtigungen. 8

Anforderung 8: Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Computerzugriff Zusammenfassung der Anforderung: Alle Aktionen im Zusammenhang mit kritischen Daten und Systemen erfolgen durch bekannte und autorisierte Benutzer und lassen sich auf diese zurückführen. Dieser lange Abschnitt des Standards umfasst eine Reihe spezifischer Sicherheitsanforderungen. Diese lassen sich folgendermaßen zusammenfassen: Identifizieren aller Benutzer anhand eines eindeutigen Benutzernamens Anwenden unterschiedlicher Authentifizierungsmethoden, je nach Grad der Vertraulichkeit der Anwendung oder Daten, auf die zugegriffen wird Verwenden einer Zweifach-Authentifizierung für den Fernzugriff auf das Netzwerk Sicherstellen, das strenge Passwortrichtlinien bestehen und umgesetzt werden Implementieren von Zugriffseinschränkungen bei fehlgeschlagenen Zugriffsversuchen und nach einer bestimmten Zeit der Inaktivität von Benutzern Unverzügliches Entziehen von Zugriffsrechten ausgeschiedener Benutzer Löschen/Deaktivieren inaktiver Benutzerkonten mindestens alle 90 Tage Lösungen von CA Technologies: CA Identity and Access Management, CA SiteMinder, CA AuthMinder, CA RiskMinder, UNIX Authentication Broker Die CA IAM-Lösungen bieten all diese Funktionen. Beispielsweise unterstützt CA SiteMinder ein breites Spektrum an Authentifizierungsmethoden, sodass die Intensität der Methode an den Grad der Vertraulichkeit der Daten oder Anwendung angepasst werden kann, auf die der Zugriff erfolgt. So können nahezu alle Authentifizierungsmethoden kombiniert werden, um eine Zweifach-Authentifizierung für dezentrale Benutzer zu ermöglichen. Darüber hinaus bietet CA IdentityMinder flexible und stabile Funktionen für die Verwaltung und Kontrolle von Benutzerpasswörtern. Die Durchsetzung spezifischer Richtlinien kann erzwungen werden, mit denen die Länge, das Format, die Aktualisierungshäufigkeit und sogar der Inhalt der Passwörter bestimmt werden kann. Der Grad der Sicherheit von Passwörtern kann genauso hoch sein, wie die Anforderungen der jeweiligen IT-Umgebung es verlangen. Auf diese Weise werden auch die Anforderungen in diesem Abschnitt des Standards erfüllt. Zudem ermöglicht CA IdentityMinder die automatisierte Deprovisionierung von Zugriffsrechten, sodass die Berechtigungen ausgeschiedener Benutzer umgehend aufgehoben werden und die zugehörigen Konten gelöscht werden können. CA GovernanceMinder kann zur Ermittlung verwaister Konten eingesetzt werden, deren zugehörige Benutzer nicht mehr im System vorhanden sind. So kann eine entscheidende Schwachstelle beseitigt werden, die in den meisten Unternehmen besteht. Ein verbreitetes Problem in vielen IT-Umgebungen tritt im Zusammenhang mit der gemeinsamen Nutzung von Passwörtern unter Benutzern mit besonderen Berechtigungen auf (etwa Administratoren und root- Benutzern). Wenn Administratoren ihre System- und Kontopasswörter weitergeben, hat dies zwei schwerwiegende Folgen. Erstens sind die Benutzer dieser Passwörter quasi anonym, und Aktionen können im Falle eines Audits nicht den jeweils verantwortlichen Personen zugeordnet werden. Zweitens führt dies meist dazu, dass Benutzer über zu viele Berechtigungen verfügen, da diese möglicherweise gewährt werden, ohne dass sie für die jeweilige Funktion erforderlich sind. 9

Daher ist zur Verbesserung der Sicherheit und der PCI-Compliance eine sicherere Methode für die Zuweisung von Passwörtern für Benutzer mit besonderen Berechtigungen vonnöten. CA ControlMinder beinhaltet Password Vault. Mit dieser Funktion lassen sich Aktionen unter Konten mit besonderen Berechtigungen den dafür verantwortlichen Benutzern zuordnen, indem Passwörter temporär zur einmaligen Verwendung ausgestellt werden. Sobald das Passwort einmal verwendet wurde, ist es nicht mehr gültig und kann somit auch nicht an andere Administratoren weitergegeben werden. Außerdem ermöglicht es Password Vault, die für Administratoraktionen verantwortlichen Einzelpersonen durch zuverlässiges Auditing zuzuordnen, wie in diesem Abschnitt des Standards verlangt. Es gibt noch ein weiteres potenzielles Problem im Zusammenhang mit der Benutzerauthentifizierung, das die PCI-Compliance erschweren kann. Für die Authentifizierung von UNIX/Linux-Benutzern müssen normalerweise andere Datensätze gepflegt werden als für Windows-Benutzer. Dadurch gestaltet sich die Passwortsynchronisierung komplizierter, und es kann zu Verzögerungen bei der Deprovisionierung von Benutzern kommen. CA ControlMinder umfasst den UNIX Authentication Broker (UNAB), eine Komponente, mit der Verwaltung von UNIX-Benutzern in einem einzigen Benutzerspeicher, nämlich Windows Active Directory (AD), erfolgen kann. Dies ermöglicht die Konsolidierung von Authentifizierungsund Kontoinformationen in einem AD-Verzeichnis, sodass UNIX-/Linus-Anmeldeinformationen nicht in verschiedenen Systemen gespeichert werden müssen. Auf diese Weise können Sie Ihre Authentifizierungsfunktionen zentralisieren und stärken und so Ihr PCI-Compliance-Profil verbessern. Eine der wichtigsten Anforderungen dieses Abschnitts bezieht sich auf eine starke Mehrfachauthentifizierung. Auch wenn dieser Abschnitt zahlreiche spezifische Anforderungen umfasst, lassen sich viele dieser Anforderungen unter dem Stichwort effiziente Zweifach-Authentifizierung zusammenfassen. Auch wenn dies für Transaktionen von großem wirtschaftlichen Wert oder für bestimmte dezentrale Benutzer wichtig wäre, kommen viele Unternehmen dem aufgrund der komplizierten Anwendung und Verwaltung von Hardwaretokens zur Zweifach-Authentifizierungen nicht nach. CA AuthMinder ist ein vielseitiger Authentifizierungsserver, der unterschiedliche Funktionen zur Verwaltung von Anmeldeinformationen und zum Authentifizierungsmanagement bietet, mit denen die achte PCI-Anforderung erfüllt werden kann. Beispielsweise handelt es sich bei der CA ArcotID um sichere, softwarebasierte Anmeldeinformationen, die die Anforderungen hinsichtlich der Zweifach-Authentifizierung erfüllen und sich darüber hinaus durch ihre Benutzerfreundlichkeit für End User auszeichnen. Mit CA ArcotID wird außerdem die Protokollierung der Passwortchronik überflüssig, da jede Passwort- Schlüssel-Kombination einzigartig ist und während des Authentifizierungsprozesses nicht in einer Datenbank gespeichert oder übertragen wird. Auf diese Weise werden die Benutzer vor Identitätsdiebstahl und Betrug geschützt, ohne vom vertrauten Anmeldeverfahren abweichen oder zusätzlich ein Hardwaretoken besitzen zu müssen. Auch werden der Verwaltungsaufwand und die Kosten vermieden, die mit Hardware-basierten Lösungen zur Zweifach-Authentifizierung verbunden sind. Für den Benutzer sieht die ArcotID wie die standardmäßigen Name-/Passwort-Anmeldeinformationen aus. Tatsächlich kommt dabei aber eine Public Key-Infrastruktur-basierte Anfrage/Antwort-Methode zum Einsatz, um die Identität des Benutzers zu verifizieren, bevor der Zugriff auf Anwendungen gewährt wird. So schützt die Technologie vor Man-in-the-Middle-Angriffen, Phishing, Pharming, Passwortentschlüsselungen und Brute-Force-Angriffen. CA ArcotID OTP ist ein sicheres zweistufiges und Software-basiertes Einmal-Passwort. Diese Anmeldeinformationen können per Client oder App für Mobiltelefone bereitgestellt werden. Dabei kann das Mobiltelefon als Authentifizierungsfaktor durch die lokale Erstellung eines Einmal-Passworts oder den Empfang eines Einmal-Passworts per SMS, E-Mail oder Sprachnachricht genutzt werden. Dies ist eine weitere benutzerfreundliche Methode, um die erforderliche Zweifach-Authentifizierung anzuwenden und von der höheren Sicherheit zu profitieren, die eine Out-of-Band-Methode der Bereitstellung bietet. Mit diesen Lösungen können die Anforderungen hinsichtlich eindeutiger Benutzerkennungen und Methoden zur Zweifach-Authentifizierung hervorragend erfüllt werden, die in diesem Abschnitt des Standards aufgeführt sind. 10

CA RiskMinder ist eine Lösung zur risikobasierten Authentifizierung und Betrugserkennung, die Betrug über Online-Services für Verbraucher sowie für Benutzer in Unternehmen verhindert. In Kombination mit CA AuthMinder versetzt sie Unternehmen in die Lage, auf Grundlage einer kontextbezogenen Risikobewertung von Aktivitäten oder Transaktionen unterschiedliche Authentifizierungsstufen auszuwählen. Je nach Risikobewertung und internen Richtlinien sind in Unternehmen möglicherweise weitere Formen der Authentifizierung erforderlich, um die Sicherheitsstufen effizient an das erkannte Ausmaß der Risiken anzupassen. CA AuthMinder und CA RiskMinder können vor Ort beim Kunden bereitgestellt oder als Teil der CA CloudMinder Advanced Authentication-Lösung als Cloud Service genutzt werden. Die Produkte können einzeln oder in Kombination mit den umfassenden Authentifizierungsfunktionen von CA SiteMinder eingesetzt werden, um zur Erzielung der Compliance und zum Schutz des Zugriffs auf Karteninhaberdaten beizutragen. Zudem ermöglicht CA IdentityMinder die automatisierte Deprovisionierung von Zugriffsrechten, sodass die Berechtigungen ausgeschiedener Benutzer umgehend aufgehoben und die zugehörigen Konten gelöscht werden können. Anforderung 10: Protokollieren und Überwachen sämtlicher Zugriffe auf Netzwerkressourcen und Karteninhaberdaten Zusammenfassung der Anforderung: Protokollierungsmechanismen und die Möglichkeit, Benutzeraktivitäten nachzuverfolgen, sind von entscheidender Bedeutung. Eine umfassende Protokollierung der Benutzer- und Administratorenaktivitäten ist eine wesentliche Voraussetzung für die Nachverfolgung und Analyse aller Sicherheitsereignisse. Dieser Abschnitt umfasst einige sehr spezifische Anforderungen. Diese lassen sich folgendermaßen zusammenfassen: Einrichten eines Prozesses, um alle Zugriffe auf Systemkomponenten einzelnen Benutzern zuordnen zu können (insbesondere Zugriffe durch Benutzer mit Administratorrechten wie root-benutzer) Implementieren automatisch erstellter Prüfprotokolle Aufzeichnen aller wichtigen Sicherheitsereignisse in der Umgebung Sichern von Prüfprotokollen, sodass sie nicht verändert werden können Überprüfen von Protokollen für alle Systemkomponenten und zwar mindestens täglich Aufbewahren der Prüfprotokollverlaufs über einen Zeitraum, der der effektiven Nutzung entspricht Lösungen von CA Technologies: CA User Activity Reporting (CA UAR), CA ControlMinder CA User Activity Reporting ist ein Add-on-Modul zur Berichterstellung zu Benutzeraktivitäten und Compliance für die wichtigsten IAM-Produkte von CA Technologies. Das Modul bietet alle der zuvor beschriebenen Funktionen und unterstützt Unternehmen dabei, ihr Reporting und ihre Untersuchungen zur Compliance von IT-Aktivitäten zu vereinfachen. Es sammelt, normalisiert und archiviert Protokolle zu IT-Benutzeraktivitäten aus unterschiedlichen Quellen und bietet Such-, Analyse- und Reportingfunktionen, die maßgeblich zur Verringerung der Kosten und Komplexität des Compliance-Nachweises beiträgt. Es wird mit zahlreichen gebrauchsfertigen Abfragen und Berichten bereitgestellt. Beispielsweise können Sie mit Hilfe dieser vorkonfigurierten Abfragen und Berichte, die dem PCI-Standard zugeordnet sind, Aktivitäten von SA- und root-konten oder beliebigen anderen Administratorkonten identifizieren und untersuchen, wenn eindeutige Verstöße gegen die PCI-Anforderung 10.2 vorliegen. Sie können sogar automatisierte Warnungen für den Fall künftiger Verstöße einrichten. Das Modul bietet eine sichere und zuverlässige Sammlung und Übertragung von Protokollen und ermöglicht gleichzeitig den rollenbasierten Zugriff auf Daten zu IT-Aktivitäten, um das Risiko nicht autorisierter Zugriffe und Änderungen zu mindern. CA ControlMinder nutzt die Funktionen von CA UAR, um Sie in die Lage zu versetzen, alle Zugriffe auf Objekte wie Programme, Ordner und Dateien zu protokollieren. Es bietet einen umfassenden Überblick darüber, wer auf diese Objekte zugegriffen hat, die möglicherweise geschützte Kreditkartendaten enthalten. Durch die Möglichkeit, Zugriffe zu protokollieren, können Sie unangemessene Zugriffsrechte schnell aufheben und die Personen identifizieren, die ihre Zugriffsrechte missbrauchen, um auf diese vertraulichen Daten zuzugreifen. 11

CA ControlMinder kann auch die Aktionen aller Benutzer eines gemeinsam genutzten Kontos überwachen (beispielsweise ein Administrator- oder root-konto). Die Verwendung dieser Konten verschleiert häufig unzulässige Aktionen. Zudem erschwert sie die Compliance, da die Aktivitäten meist nicht einzelnen Personen zugeordnet werden können. Aber mit CA ControlMinder wissen Sie immer, wer für welche Aktionen verantwortlich ist, auch wenn sie über ein gemeinsam genutztes Konto erfolgen. Und schließlich kann CA ControlMinder die eigentlichen Sitzungen der Benutzer mit besonderen Berechtigungen aufzeichnen (einschließlich Tastatureingaben und Mausbewegungen). Treten offenkundige Abweichungen auf, kann ganz einfach der Bildschirm des Administrators angezeigt werden, um die von ihm durchgeführten Aktionen zu beobachten. Die Möglichkeit, die tatsächlichen Interaktionen zu reproduzieren, ist äußerst hilfreich, um für Auditoren die Compliance nachzuweisen und möglicherweise unvorschriftsmäßige Administratoraktionen zu identifizieren. PCI-Compliance in virtuellen Umgebungen In einem der vorherigen Abschnitte wurden die neuen PCI-Anforderungen für virtuelle Umgebungen zusammengefasst. Wie sich zeigte, handelt es sich um strenge Anforderungen wenn sich Kreditkartendaten in einer Komponente einer virtuellen Umgebung befinden, müssen die Anforderungen für alle Komponenten umgesetzt werden. Die meisten der neuen Anforderungen beziehen sich auf Best Practices für die Sicherheit, beispielsweise das Beschränken des physischen Zugriffs, das Implementieren der geringstmöglichen Zugriffsrechte, das Erzwingen der Aufgabentrennung und das Sicherstellen ordnungsgemäßer Systemkonfigurationen. All dies sind fundierte Best Practices in allen Umgebungen, spielen aber in virtuellen Umgebungen eine besonders wichtige Rolle. Eine Anforderung gilt jedoch ausschließlich für virtuelle Umgebungen: das Härten des Hypervisors. Da dieser eine einzelne Fehlerquelle darstellt, muss er unbedingt gesichert werden, um den Schutz sämtlicher Karteninhaberdaten in der virtuellen Umgebung zu gewährleisten. CA ControlMinder for Virtual Environments ist eine Sicherheitslösung, die speziell auf den Schutz von Systemen und Daten in virtuellen Umgebungen ausgerichtet ist. Sie sichert den Zugriff von Benutzern mit besonderen Berechtigungen auf virtuelle Computer, Hypervisoren und virtuelle Appliances und ermöglicht es IT-Organisationen so, die Aktionen von Benutzern mit besonderen Berechtigungen zu kontrollieren, den Zugriff auf die virtuelle Umgebung zu sichern und gewerbliche Vorschriften einzuhalten. Die Lösung stellt die grundlegenden Funktionen bereit, die für das Management von Passwörtern von Benutzern mit besonderen Berechtigungen, das Härten des Hypervisors und die Überwachung der Aktivitäten privilegierter Benutzer erforderlich sind. Sie umfasst außerdem die Hytrust Appliance, die die Integrität der virtuellen Infrastruktur überwacht und überprüft und ein vollständiges System zur Dokumentation aller Änderungen in der Umgebung bereitstellt. Die wichtigsten Leistungsmerkmale des Produkts umfassen: Privileged User Password Management ermöglicht den gesicherten Zugriff durch Benutzer mit besonderen Berechtigungen und die Zuordnung von Aktionen zu den dafür verantwortlichen Personen. CA Access Control ermöglicht die Ausgabe temporärer Passwörter für die einmalige Verwendung oder nach Bedarf, während durch sichere Prüfungen gewährleistet wird, die Aktionen von Benutzern mit besonderen Berechtigungen den verantwortlichen Personen zuordnen zu können. Die Ausgabe von Passwörtern wird durch einen einfachen Workflow für das Anfordern und das Auschecken eines systemgenerierten und für den einmaligen Gebrauch bestimmten Passworts unterstützt. Auf diese Weise müssen Passwörter nicht gemeinsam genutzt werden. Überwachung der Benutzeraktivitäten überwacht die Aktivitäten im Hypervisor und verfolgt und verfolgt die Nutzung von Konten mit besonderen Berechtigungen anhand der zugrunde liegenden Benutzerkennung. Darüber hinaus ermöglicht die Integration mit dem CA User Activity Reporting es den Kunden, die Prüffunktionen auch über CA ControlMinder-Ereignisse hinaus anzuwenden. So erhalten sie eine ganzheitliche Sicht auf die Aktivitäten von Konten mit besonderen Berechtigungen in der IT-Umgebung. Aufgabentrennung tragen entscheidend dazu bei, die Aufgabentrennung nach Branchenstandard für den Hypervisor erzwingen zu können. Beispielsweise kann dadurch verhindert werden, dass der Hypervisor- Administrator über den Hypervisor auf die Konfigurationen der virtuellen Computer zugreift. So werden alle Änderungen an der virtuellen Umgebung ausschließlich über die Managementkonsolen gesteuert. 12

Sichere Mandantenfähigkeit erweitert die herkömmliche Segmentierung physischer Netzwerke auf virtuelle Umgebungen aus. Es ermöglicht eine optimierte Mandantenisolierung für bessere Compliance und MSP-Aktivierung, Kontrolle des Datenaustauschs zwischen virtuellen Computern über ein richtlinienbasiertes Framework und eine größere VM-Dichte auf physischer Hardware, indem Gastsysteme unterschiedlicher Vertrauensstufen einen gemeinsamen Host bei Gewährung des geringstmöglichen Zugriffs für Mitglieder aus anderen Zonen nutzen können. Hypervisor-Härtung kontrolliert den Zugriff auf die Systemressourcen, Programme, Dateien und Prozesse anhand strenger Kriterien, darunter die Zeit, die Anmeldemethode, die Netzwerkattribute und das Zugriffsprogramm. Es ist möglich, für neu entwickelte VMware-Server eine der vordefinierten Sicherheitskonfigurationen anzuwenden, um eine lückenlose Überwachung von VMware vsphere-hosts zu erzielen und so Konfigurationsfehler mit Hilfe vorkonfigurierter Bewertungs-Frameworks zu ermitteln und aktiv Probleme bei minimaler Serviceunterbrechung zu beheben. Data Loss Prevention für effizientere PCI-Compliance Data Loss Prevention (CA DataMinder ) kann die Kontrollmechanismen erheblich stärken, die dazu beitragen, den Schutz von Kundenkreditkartendaten sicherzustellen. Die Vorteile von DataMinder umspannen die Kategorien der PCI-Anforderungen, daher werden diese im folgenden Abschnitt in Hinblick auf mehrere dieser Kategorien zusammengefasst. Die CA DataMinder-Lösung bietet zwei entscheidende Funktionen für den Einsatz in PCI-Compliance- Programmen: 1. Erkennung ungeschützter PCI-relevanter Daten CA DataMinder kann in Unternehmen nach Daten wie Kreditkartennummern und personenbezogenen Daten von Kontoinhabern suchen. Werden entsprechende Daten an Speicherorten gefunden, die nicht den erforderlichen Schutz für derartige Informationen aufweisen, kann CA DataMinder die Daten an einen sicheren Ort verschieben und die Ausgangsdatei löschen. So wird ein Unternehmen vor unbekannten Sicherungskopien von Kundendaten geschützt, die an ungeeigneten Speicherorten landen. Dies unterstützt die IT-Organisation dabei, das eigene Unternehmen im Hinblick auf mögliche Schwachstellen zu BEWERTEN und Risiken zu BESEITIGEN, indem mit entsprechenden Maßnahmen auf ungeschützte Daten im Unternehmen reagiert wird. 2. Erkennung dieser ungeschützten Daten während der Übertragung oder Verwendung im gesamten Unternehmen In Fällen, in denen Mitarbeiter Zugriff auf Daten haben, die geschützt sein sollten, kann CA DataMinder dazu beitragen, die PCI-Anforderungen zu erfüllen, indem die Daten erkannt und Übertragungen unterbunden werden. Dies kann an den Netzwerkgrenzen in unterschiedlichster Form geschehen per E-Mail (SMTP), FTP, HTTP, Instant Messaging, Webmail sowie über viele weitere Netzwerkprotokolle. Ebenso kann dies mit Hilfe verschiedener Endgeräte erfolgen (beispielsweise Laptops oder Arbeitsstationen), wenn End User versuchen, geschützte PCI-Daten auf Wechselmedien wie USB-Sticks zu verschieben oder auszudrucken. CA DataMinder trägt zum Schutz von Daten bei, indem die Daten gesperrt werden, wenn versucht wird, sie auf Wechselmedien oder an einen externen Speicherort zu verschieben. CA DataMinder stellt außerdem ausgereifte Berichte zu allen erkannten Risiken und allen Aktionen des Programms bereit. 13

CA DataMinder umfasst mehrere vordefinierte Richtlinien für die Erkennung von Karteninhaberdaten. Dazu zählen beispielsweise: Kreditkartennummern Kreditkartennummern Schwellenwert Kreditkartennummern mit zusätzlichen personenbezogenen Daten Gemeinsame Nutzung von Passwörtern und Benutzernamen Schützen und Kontrollieren von Kreditkartennummern in unterschiedlichen Bereichen und Formaten Schützen und Kontrollieren einer festgelegten Menge (Schwellenwert) an Kreditkartennummern in unterschiedlichen Bereichen und Formaten Schützen und Kontrollieren von Kreditkartennummern, wenn mit diesen zusätzliche personenbezogene Daten wie Adresse, Geburtsdatum und Name des Karteninhabers vorliegen Schützen und Kontrollieren von Passwörtern hinsichtlich der Offenlegung und gemeinsamen Nutzung sowie Verhindern der Verteilung von Benutzernamen oder Passwörtern in nicht sicheren Formaten Kurz gesagt: CA DataMinder ist eine wichtige Komponente, die ein Unternehmen in die Lage versetzt, PCI-Standards durch BEWERTUNG und BESEITIGUNG von Schwachstellen (in Echtzeit) und entsprechendem REPORTING einzuhalten. PCI-Compliance für Mainframes Jede umfassende Strategie für PCI-Compliance muss Mainframes berücksichtigen aufgrund der entscheidenden Rolle die diese in allen Sicherheitsumgebungen spielen. Insbesondere einige öffentlich bekannt gewordene Sicherheitsverletzungen im Zusammenhang mit Kreditkartendaten sind auf eine unzureichende Mainframe-Sicherheit zurückzuführen. CA Technologies bietet neben seinen anderen verteilten Sicherheitslösungen auch eine Reihe von Lösungen für die Mainframe-Sicherheit an, die es Ihnen ermöglichen, mit Ihrer Strategie für die PCI-Compliance Mainframes zu berücksichtigen. Die CA Mainframe Security-Lösungen umfassen: CA ACF2 und CA Top Secret bieten flexible und zuverlässige Funktionen zur Verwaltung von Identitäten und Berechtigungen. Die Durchsetzung spezifischer Richtlinien kann erzwungen werden, mit denen die Länge, das Format und die Komplexität von Passwörtern bestimmt werden kann Die Gültigkeitsdauer von Passwörtern kann zudem global oder auch in Einzelfällen kontrolliert werden. Die Passwortsicherheit kann nach Organisation und abhängig von der jeweiligen IT-Umgebung verwaltet werden. CA ACF2 und CA Top Secret tragen zur Erfüllung mehrerer PCI-Anforderungen bei, vor allem die Anforderungen aus den Abschnitten 7.1.4, 7.2.1, 7.2.3, 8.1 und 8.5.8, sowie 9.10.2. CA ACF2 und CA Top Secret Option for DB2 ermöglicht Ihnen die Kontrolle über die Sicherheit Ihrer kritischen DB2 for z/os-umgebung, wo dies am sinnvollsten ist innerhalb des bestehenden CA ACF2- oder CA Top Secret ControlMinder-Systems und unterstützt Sie dabei, mehrere PCI-Anforderungen zu erfüllen, darunter die Anforderungen aus den Abschnitten 6.2, 6.3.6, 7.1.4, 7.2.1, 8.1, 8.5.8, 10.1, 10.2, 10.2.1, 12.5 und 12.5.5. CA Auditor for z/os erkennt System-, Anwendungs- und Sicherheitsschwachstellen in z/os- Umgebungen, die durch eine unsachgemäße Systemkonfiguration und betriebsbedingte Fehler, die vorsätzliche Umgehung von Sicherheitsmaßnahmen oder durch Angriffe verursacht werden. Diese Lösung trägt zur Erfüllung der PCI-Anforderungen aus den Abschnitten 6.2, 6.4, 10.5.2 und 11.5 bei. 14

CA Cleanup bietet Identitäts- und Berechtigungsüberwachung für Mainframes für Ihre CA ACF2-, CA Top Secret- bzw. IBM RACF-Sicherheit unter z/os. Es können spezifische Richtlinien zur Überwachung der Nutzung (oder fehlenden Nutzung) für Identitäten und Berechtigungen definiert werden, und nach einem festgelegten Zeitraum der Inaktivität können diese archiviert und schließlich aus dem System entfernt werden. Auf diese Weise wird verhindert, dass verwaiste Identitäten und Berechtigungen eine potenzielle Gefahr für PCI-Daten darstellen. CA Cleanup kann die Anzahl nicht genutzter Berechtigungen und Benutzerkennungen ohne den mit der manuellen Administration einhergehenden Kostenaufwand verringern. Diese Lösung trägt zur Erfüllung der PCI-Anforderungen aus den Abschnitten 2.1, 7, 8.5.5, 8.5.6 und 10 bei. CA Compliance Manager for z/os ermöglicht die Überwachung jeglicher Aktivitäten in Bezug auf PCI-Daten (und Daten, die nicht PCI-relevant sind), um die Ermittlung und Beibehaltung der geringstmöglichen Zugriffsrechte für alle Benutzer sicherzustellen, die aufgrund ihrer Funktion auf PCI-Daten zugreifen müssen. Zudem bietet CA Compliance Manager Unterstützung bei der Umsetzung und Aufrechterhaltung des Modells der geringstmöglichen Zugriffsrechte. So kann sichergestellt werden, dass die Zugriffsrechte eines Benutzers für ein Objekt den Zugriffsrechten entsprechen, die unbedingt für die Ausführung seiner Tätigkeit erforderlich sind. Diese Lösung trägt zur Erfüllung der PCI-Anforderungen aus den Abschnitten 6,4, 7, 10.2, 10.3, 10.5.2, 10.5.5 und 11.5 bei. Ausführliche Informationen dazu, wie mit Hilfe dieser Lösungen Mainframe-PCI-Compliance erzielt werden kann, finden Sie unter: ca.com/mainframe/pci. Zusammenfassung Die Erfüllung der Anforderungen des PCI-Standards ist inzwischen eine geschäftliche Notwendigkeit für Unternehmen, die in großem Umfang Kreditkartentransaktionen verarbeiten oder Kreditkartenservices jeglicher Art für andere Unternehmen anbieten. Üblicherweise sind dazu abgestimmte Maßnahmen unterschiedlicher Gruppen innerhalb der IT-Organisation erforderlich. Auch wenn im Allgemeinen Änderungen an verschiedenen IT-Prozessen vorgenommen werden müssen, kann die Einführung spezifischer Technologielösungen die Compliance-Maßnahmen entscheidend unterstützen. CA Technologies bietet Lösungen, die nicht nur Assets und Informationen schützen, die sich auf Karteninhaber beziehen, sondern auch dazu beitragen, die IT-Kosten insgesamt durch die Automatisierung zahlreicher IT-Prozesse zum Schutz dieser Informationen zu senken. Abschnitt 3: Nutzen Die CA Technologies-Produkte für das Identity and Access Management bieten eine bewährte Lösung für den plattform- und umgebungsunabhängigen Schutz der IT-Assets in Ihrem Unternehmen. Die Vorteile dieser Produkte im Überblick: Ermöglichen von PCI-Compliance. Unterstützen Sie Ihr Unternehmen mit automatisierten und zentral verwalteten Compliance-Funktionen, die zum Senken von Kosten beitragen und gleichzeitig strenge Kontrollen sowie den Nachweis von Kontrollmechanismen ermöglichen, die die Sicherheit erhöhen und IT-Audits erleichtern. Verringern administrativer Kosten und Verbessern der Effizienz. Verringern Sie den Aufwand der Sicherheitsverwaltung und die Help-Desk-Kosten, und verbessern Sie die Gesamtproduktivität der Benutzer im Unternehmen. Die zentrale Verwaltung aller Benutzeridentitäten und der zugehörigen Zugriffsrechte erleichtert das Richtlinienmanagement, wodurch dieses weniger fehleranfällig wird und deutlich geringere Kosten verursacht. 15

Weniger Sicherheitsrisiken. Durch das zentrale Identitätsmanagement und die Erzwingung von Zugriffsrechten stellen die Lösungen für das Identity and Access Management von CA Technologies sicher, dass nur entsprechend autorisierte Benutzer Zugriff auf unternehmenskritische Ressourcen erhalten. Ihre Zugriffsrechte erhalten die Benutzer entsprechend der ihnen zugewiesenen Rolle im Unternehmen, durch die sie nur auf die geschützten IT-Ressourcen und/oder andere Ressourcen zugreifen können, die sie für ihre Arbeit benötigen. Optimiertes Geschäftswachstum. Durch die Automatisierung, die zentrale Erfassung und die intensivere Kontrolle über IAM-Funktionen ist ihr Unternehmen in der Lage, Online-Anwendungen besser zu sichern und dem Benutzer optimal zugeschnittene Online-Funktionen innerhalb des wachsenden Ökosystems aus Mitarbeitern, Kunden, Zulieferern und Geschäftspartnern zu bieten. Unter ca.com/iamfinden Sie weitere Informationen dazu, wie die umfassende und integrierte IAM-Lösung von CA Sie dabei unterstützen kann, die Kosten für die Sicherheit zu senken, Unternehmensressourcen zu schützen und für die Einhaltung gesetzlicher Vorschriften zu sorgen. CA Technologies ist ein Anbieter für IT-Management-Software und -Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und verteilten Systemen bis hin zu virtuellen Systemen und Cloud Computing. CA Technologies verwaltet und schützt IT-Umgebungen und ermöglicht Kunden die Bereitstellung flexiblerer IT-Services. Die innovativen Produkte und Services von CA Technologies bieten den Überblick und die Kontrolle, die IT-Organisationen zur Unterstützung geschäftlicher Flexibilität benötigen. Die meisten Fortune Global 500-Unternehmen nutzen Verwaltungslösungen von CA Technologies für ihre wachsenden IT- Ökosysteme. Weitere Informationen finden Sie auf der Website von CA Technologies unter ca.com. Copyright 2012 CA. Alle Rechte vorbehalten. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA übernimmt für die Genauigkeit oder Vollständigkeit der Informationen keine Haftung. Soweit nach anwendbarem Recht erlaubt, stellt CA dieses Dokument im vorliegenden Zustand ohne jegliche Gewährleistung zur Verfügung; dazu gehören insbesondere stillschweigende Gewährleistungen der Markttauglichkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde. CA bietet keine Rechtsberatung. Weder dieses Dokument noch die CA-Softwareprodukte, auf die hier verwiesen wird, entbinden Sie von der Einhaltung von Gesetzen (dazu gehören insbesondere Gesetze, Satzungen, Vorschriften, Regeln, Anweisungen, Regelwerke, Normen, Richtlinien, Maßnahmen, Anforderungen, Verordnungen, Verfügungen usw. (zusammenfassend als Gesetze bezeichnet)), auf die in diesem Dokument verwiesen wird. Wir empfehlen, zu den in diesem Dokument erwähnten Vorschriften kompetente Rechtsberatung in Anspruch nehmen. CS1993_0212

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback