BLOG

Abwehr gegen Bots sollte auch zur Einhaltung des PCI-DSS beitragen

Edward O'Connell Miniatur
Edward O'Connell
Veröffentlicht am 18. September 2023

Die Internetkriminalität hat zugenommen und wird auch weiterhin zunehmen, da leicht verfügbare Automatisierungstools und gestohlene Anmeldeinformationen es relativ einfach machen, Anwendungen zum Zwecke der Gewinnerzielung anzugreifen. Dies wiederum hat zu strengeren Sicherheitsstandards in der Industrie und auf staatlicher Seite geführt, um die Einhaltung von Vorschriften und Vertrauen zu gewährleisten. Ein Beispiel für einen solchen Branchensicherheitsstandard ist der Payment Card Industry Data Security Standard (PCI-DSS) mit der Veröffentlichung der v4-Anforderungen. Eines der Ziele der Version besteht darin, das allgemeine Schutzschema für die clientseitige Sicherheit zu aktualisieren.

PCI-DSS ist ein wichtiger Standard, da er es Zahlungsabwicklern und Dienstanbietern ermöglicht, einander zu vertrauen und sich gegenseitig zu schützen. Um den wachsenden Anforderungen an elektronische Transaktionen gerecht zu werden, haben verschiedene Händler und Dienstanbieter ihre Anwendungen auf eine Cloud-basierte Infrastruktur migriert, um skalierbare Vorgänge mit geringer Latenz zu gewährleisten. Die PCI-DSS-Konformitätsstandards gelten für alle elektronischen Transaktionen, unabhängig davon, welche Infrastruktur Händler und Dienstanbieter zur Zahlungsabwicklung verwenden. PCI-DSS deckt Netzwerksicherheit, Datenverschlüsselung und Verwaltung ab, befasst sich jedoch nicht mit dem Schutz von Anwendungen (und Daten) vor automatisierten Angriffen.

Um Cloud-basierte Anwendungen und Daten vor automatisierten (oder manuellen) Angriffen zu schützen, verlassen sich Zahlungsabwickler und Händler auf externe Sicherheitsdienstleister, die einen verteilten Schutz für Anwendungen und Daten bereitstellen. Die PCI-DSS-Zertifizierung eines SaaS-Sicherheitsanbieters ist für die Zahlungsaussteller von entscheidender Bedeutung, um die Compliance und das Vertrauen anderer Anbieter, mit denen sie verbunden sind und Geschäfte tätigen, aufrechtzuerhalten. Ein Security-as-a-Service-Anbieter ohne PCI-DSS-Konformität erschwert Zahlungsausstellern die Einhaltung der Vorschriften und das anhaltende Vertrauen in die Drittorganisationen, mit denen sie zur Zahlungsabwicklung verbunden sind, erheblich.

Laut PCI-DSS-Glossar ist ein Dienstanbieter ein Unternehmen, bei dem es sich nicht um eine Zahlungsmarke handelt, das jedoch im Auftrag eines anderen Unternehmens direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten beteiligt ist. Hierzu zählen auch Unternehmen, die Dienste bereitstellen, welche die Sicherheit der Karteninhaberdaten kontrollieren oder beeinträchtigen könnten. Beispiele hierfür sind Managed Service Provider, die verwaltete Firewalls, Intrusion Detection Systeme und andere Dienste bereitstellen, sowie Hosting-Anbieter und andere Unternehmen.

F5 Distributed Cloud (XC) Bot Defense ist eine SaaS-Lösung, die Anwendungen vor automatisierten Angriffen schützt und als Dienstanbieter die PCI-DSS-Konformitätsanforderungen erfüllt . F5 XC Bot Defense bietet Sicherheit für Zahlungsaussteller und andere vor automatisierten Angriffen in zahlreichen Branchen wie Finanzdienstleistungen, Einzelhandel und E-Commerce, Gesundheitswesen und Regierungen auf der ganzen Welt.

Ein gutes Beispiel dafür, wie F5 als Dienstanbieter die PCI-DSS-Konformitätsanforderungen erfüllen kann, ist die strikte Einhaltung (Richtlinien, Betrieb und Dokumentation) der unten aufgeführten PCI-Anforderungen:

1.3 Der Netzwerkzugriff zur und von der Karteninhaberdatenumgebung (CDE) ist eingeschränkt.

1.3.1 Eingehender Datenverkehr zum CDE ist wie folgt beschränkt:

  • Nur den unbedingt notwendigen Verkehr.
  • Jeglicher andere Datenverkehr wird ausdrücklich abgelehnt.

1.3.2 Ausgehender Datenverkehr vom CDE ist wie folgt beschränkt:

  • Nur den unbedingt notwendigen Verkehr.
  • Jeglicher andere Datenverkehr wird ausdrücklich abgelehnt.

1.4.1 NSCs werden zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken implementiert.

1.4.2 Eingehender Datenverkehr von nicht vertrauenswürdigen Netzwerken zu vertrauenswürdigen Netzwerken ist beschränkt auf:

  • Kommunikation mit Systemkomponenten, die berechtigt sind, öffentlich zugängliche Dienste, Protokolle und Ports bereitzustellen.
  • Zustandsbehaftete Antworten auf Kommunikationen, die von Systemkomponenten in einem vertrauenswürdigen Netzwerk initiiert werden.
  • Der gesamte andere Datenverkehr wird abgelehnt.

1.4.3 Um gefälschte Quell-IP-Adressen zu erkennen und ihren Zugang zum vertrauenswürdigen Netzwerk zu blockieren, werden Anti-Spoofing-Maßnahmen implementiert.

Als PCI-DSS-Dienstanbieter muss F5 nicht nur die PCI-DSS-Anforderungen erfüllen, sondern auch darauf aufbauend verteilte Anwendungen und Daten problemlos vor automatisierten Angriffen schützen, die schnell skalieren und/oder sich verändern können.

Weitere Informationen dazu, wie F5 Distributed Cloud Bot Defense nicht nur Ihre Anwendungen und Daten vor Angriffen schützen, sondern auch Ihren PCI-DSS-Compliance-Prozess optimieren kann, finden Sie unter: