防御机器人也应有助于推动 PCI-DSS 合规性
网络犯罪日益猖獗,而且这种趋势还将继续,因为随时可用的自动化工具和被盗凭证使得攻击应用以牟利变得十分简单。 这反过来又推动了行业和政府安全标准的提高,以确保合规性和信任。 此类行业安全标准的一个例子是支付卡行业数据安全标准 (PCI-DSS) ,其已发布 v4 要求。 该版本的目标之一是更新客户端安全的整体保护方案。
PCI-DSS 是一项关键标准,因为它使支付处理商和服务提供商能够相互信任和保护。 为了满足日益增长的电子交易需求,各种商家和服务提供商已将其应用迁移到基于云的基础设施,以确保可扩展、低延迟的运行。 PCI-DSS 合规标准适用于所有电子交易,无论商家和服务提供商使用什么基础设施来处理付款。 PCI-DSS 涵盖网络安全、数据加密和管理,但没有涉及保护应用(和数据)免受自动攻击。
为了保护基于云的应用和数据免受自动(或手动)攻击,支付处理商和商家依赖第三方安全服务提供商为应用和数据提供分布式保护。 SaaS 安全供应商的 PCI-DSS 认证对于支付发行商维持与其有联系和有业务往来的其他供应商的合规性和信任至关重要。 不遵守 PCI-DSS 的安全即服务供应商将使支付发行商更难维持或证明其与用于支付处理的第三方机构的合规性以及持续的信任。
根据PCI-DSS 词汇表,服务提供商是一种商业实体,它不是支付品牌,而是代表其他实体直接参与处理、存储或传输持卡人数据。 这还包括提供控制或可能影响持卡人数据安全的服务的公司。 示例包括提供托管防火墙、入侵检测系统和其他服务的托管服务提供商以及托管提供商和其他实体。
F5 分布式云 (XC) Bot Defense 是一种 SaaS 解决方案,可保护应用免受自动攻击,并作为服务提供商满足 PCI-DSS 合规性要求。 F5 XC Bot Defense 为支付发行机构及类似机构提供安全保障,防范全球金融服务、零售和电子商务、医疗保健和政府等各行各业的自动攻击。
作为服务提供商,F5 能够满足 PCI-DSS 合规性要求的一个很好的例子是严格遵守(政策、操作和文档)以下列出的 PCI 要求:
1.3 持卡人数据环境 (CDE) 的网络访问受到限制。
1.3.1 到 CDE 的入站流量受到以下限制:
- 仅传输必要的流量。
- 所有其他流量均被明确拒绝。
1.3.2 来自 CDE 的出站流量受到以下限制:
- 仅传输必要的流量。
- 所有其他流量均被明确拒绝。
1.4.1 NSC 在可信网络和非可信网络之间实现。
1.4.2 从不受信任的网络到受信任的网络的入站流量被限制为:
- 与被授权提供可公开访问的服务、协议和端口的系统组件进行通信。
- 对可信网络中的系统组件发起的通信的状态响应。
- 所有其他流量均被拒绝。
1.4.3 实施反欺骗措施来检测并阻止伪造的源 IP 地址进入可信网络。
作为 PCI-DSS 服务提供商,F5 不仅必须满足 PCI-DSS 要求,还必须在此基础上轻松保护分布式应用和数据免受可能快速扩展和/或变异的自动攻击。
要详细了解 F5 分布式云机器人防御如何保护您的应用和数据免受攻击,并简化您的 PCI-DSS 合规流程,请查看: