Content
Easy PCI Plan von McAfee schützt Kreditkartendaten
Erste Frist zur Umsetzung der PCI-DSS-Richtlinien endet am 30.09.07
Der Sicherheitsanbieter McAfee hat einen "Easy PCI Plan" vorgelegt, nach dem Händler und Dienstleister einen Großteil der Anforderungen aus der Sicherheitsnorm für Kreditkartenannahmestellen (Payment Card Industry Data Security Standard, PCI DSS) fristgerecht und dauerhaft erfüllen können. Die entsprechenden Funktionen stellt das "Dreigestirn" der Lösungen McAfee Total Protection, McAfee Foundstone und McAfee IntruShield bereit. Berater des McAfee-Geschäftsbereichs Foundstone Professional Services helfen den Kunden bei der Analyse des Status quo und der Planung von Sicherheitsprogrammen. Zudem führen sie bei Bedarf die erforderlichen Konformitätsprüfungen durch.
Die Sicherheitsnorm PCI DSS (kurz: PCI) soll vor allem einen massiven Verlust oder Diebstahl von Kreditkartendaten verhindern. Nach Berechnungen des Marktforschungsinstituts Gartner entstehen Unternehmen dadurch Kosten von durchschnittlich 300 US-Dollar je betroffenem Kreditkartenkonto. Händler und Dienstleister, die Zahlungen per Kreditkarte empfangen, werden nach der Menge der abgewickelten Transaktionen in vier Gruppen eingeteilt und müssen 12 verbindliche Anforderungen - von Abläufen über administrative Grundsätze bis hin zu technischen Voraussetzungen - erfüllen. Für Vertreter der Gruppe 1 mit jährlich über sechs Millionen Transaktionen endet die Frist dafür am 30. September 2007.
Den Kern des Easy-PCI-Plans von McAfee bilden drei leistungsstarke integrierte Security-Risk-Management-Lösungen, die einen Großteil der 12 Anforderungen der aktuellen PCI-Version 1.1 erfüllen. Zusammen mit der vierten Komponente, den Consulting- und Auditing-Services von McAfee, können Händler und Dienstleister der Gruppen 1 bis 3 mit diesen Produkten die wichtigsten Aufgaben im Zusammenhang mit den PCI-Richtlinien bewältigen und die Norm fest im Unternehmen etablieren. Die wichtigsten Aufgaben sind: 1. das Bestehen der vorgeschriebenen Compliance-Prüfungen bis zum jeweiligen Stichtag, 2. die Konzeption und Umsetzung eines mehrstufigen, nachhaltigen Sicherheitsmodells, 3. der Schutz sensibler Kreditkartendaten und der Systeme, auf denen diese Daten gespeichert werden, im Einklang mit "Good Industry Practices".
Die Kombination aus McAfee IntruShield, McAfee Foundstone und McAfee Total Protection deckt folgende 6 der insgesamt 12 Bereiche der PCI-Anforderungen ab:
2. Systempasswörter und andere Sicherheitseinstellungen
5. Einsatz von Anti-Virus-Software
6. sichere Systeme und Anwendungen
8. eindeutige Benutzerkennungen für Personen mit Rechnerzugang
10. Zugriff auf Netzwerkressourcen und Kreditkarteninhaberdaten
11. regelmäßige Prüfung der Sicherheitssysteme und -prozesse
Die einzelnen Lösungen sind in hohem Maß wechselseitig integriert, lassen sich in einheitlicher Weise steuern und verwalten und ermöglichen ein lösungsübergreifendes Reporting. In Kombination mit den Dienstleistungen der Consulting-Sparte Foundstone können Unternehmen einfach und effizient die Schutz- und Abwehrmechanismen planen und implementieren, die nötig sind, um PCI-Compliance zu erreichen und dauerhaft zu sichern.
Zudem verfügt McAfee über ein weit gespanntes Partnernetz, dessen Mitglieder den Kunden helfen können, richtlinienkonforme PCI-Sicherheitssysteme auf Basis von McAfee-Produkten einzurichten und die entsprechenden Konformitätsprüfungen zu bestehen. Bei der Auswahl eines geeigneten Dienstleisters ist McAfee behilflich.
Easy PCI Plan von McAfee: Bestandteile
McAfee IntruShield ist eine Hardwarekomponente zur Network Intrusion Prevention, die den Datenverkehr in gefährdeten Netzwerken in Echtzeit überwacht und diese so vor Angreifern und Eindringlingen schützt. IntruShield kann beispielsweise ungepatchte POS-Terminals schützen oder den Diebstahl von Kreditkartendaten verhindern. Des Weiteren verfügt IntruShield über Funktionen zur Network Access Control (NAC), zur Verhinderung von Täuschungsversuchen (Spoofing), zur Abwehr verschlüsselter Angriffe und über eine interne Firewall.
McAfee Foundstone ist eine Vulnerability-Management-Lösung, die wichtige Systemkomponenten regelmäßig auf Schwachstellen untersucht und gleichzeitig dafür sorgt, dass alle aktuellen Patches eingespielt werden. In Verbindung mit IntruShield können bestimmte Systeme oder Hosts als besonders gefährdet definiert und bei der Schwachstellenbehebung entsprechend priorisiert werden.
McAfee Total Protection Enterprise bietet mittels Agenten-Software Schutz gegen Viren und Spyware sowie eine Personal Firewall, ein Host Intrusion Prevention System (HIPS) und NAC-Funktionen. Zum Schutz sensibler Kreditkartendaten vor unberechtigtem Zugriff trägt auch die Software McAfee Data Loss Prevention Host (DLP) bei.
Foundstone Professional Services analysiert und bewertet die administrativen und technischen Sicherheitsmaßnahmen von Unternehmen und unterstützt diese bei der Konzeption von Sicherheitsprogrammen. Die Consulting-Sparte von McAfee ist als Qualified Scan Vendor (QSV) und Qualified Security Assessor (QSA) für PCI-Konformitätsprüfungen zertifiziert.
Weitere Informationen (in englischer Sprache) über den Easy PCI Plan von McAfee sowie ein Verzeichnis, welche McAfee-Lösungen die einzelnen PCI-Anforderungen abdecken, finden Sie unter http://www.mcafee.com/easypci.
Über McAfee
McAfee Inc. (NYSE: MFE) ist der führende Anbieter von Sicherheitstechnologien. Das Unternehmen mit Hauptsitz im kalifornischen Santa Clara bietet präventive, praxiserprobte Lösungen und Dienstleistungen an, die weltweit Computer und Netzwerke vor Bedrohungen schützen. Mit einzigartiger Fachkompetenz und Innovationskraft versetzt McAfee Privatanwender, Unternehmen, die öffentliche Verwaltung und Service Provider in die Lage, Angriffe abzuwehren, Störungen zu verhindern und ihre Sicherheit kontinuierlich zu überwachen und zu verbessern. Weitere Informationen finden Sie unter http://www.mcafee.com.
