• 
  • Обзор решений
  • Мониторинг баз данных
  • • Привилегированные пользователи
  • • Подозрительные активности
  • • Внедрение вредоносного кода
  • Аудит и соответствие
  • • Автоматизация процессов
  • • SOX Accelerator
  • • PCI Accelerator
  • Управление изменениями
  • Предотвращение утечек
• 
  • Обзор продуктов
  • Архитектура
  • • Основные технологии
  • • Масштабируемость
  • • Интеграция
  • • Защищенное исполнение
  • Аудит и отчетность
  • Оценка уязвимостей
  • Обнаружение и классификация
  • Поддерживаемые платформы
• 
• 
• 
• 
  • Обзор Guardium
  • Почему Guardium?
  • Инвесторы
• 

Главная > Решения > Аудит и соответствие > PCI Accelerator

Автоматизация процесса соответствия

.

Стандарт PCI-DSS (Payment Card Information Data Security Standard) был создан в 2004 году ведущими кредитными компаниями мира для борьбы с кражами конфиденциальных данных. Несмотря на введение этого стандарта, проблемы в области обеспечения безопасности остаются наиболее актуальными. Последние громкие случаи кражи данных все чаще и чаще провоцируют финансовые компании к внедрению решений для защиты конфиденциальной информации.

Наиболее простое на первый взгляд решение по защите – шифрование. Однако такое решение является наиболее дорогостоящим и сложным в реализации, так как требует внесения значительных изменений в бизнес-системы и базы данных. Другие способы защиты, например, постоянный мониторинг логов баз данных (даже при использовании SIEM-решений) не могут обеспечить необходимый уровень контроля доступов и анализа данных. Отдельные решения, способные обеспечить необходимый для защиты уровень аудита, оказывают довольно сильное влияние на производительность СУБД.

Штатные системы журналирования, входящие в состав любой СУБД, управляются привилегированными пользователями – администраторами баз данных (DBA), а также не соответствуют требованиям стандартов в части обеспечения разделения обязанностей.

Guardium PCI Accelerator - эффективное решение, позволяющее просто и быстро обеспечить проверку на соответствие стандарту PCI-DSS:

• Выполнение требований стандарта PCI-DSS:
• Требование 3: Защита хранимых данных путем удержания только минимума информации (Protect Stored Data)
• Требование 6: Защита систем путем реализации процесса контроля изменений (Maintain Secure Systems)
• Требование 7: Доступ разрешается только к той информации, которая требуется (Restrict Access to Cardholder Data by Business Need-to-Know)
• Требование 10: Отслеживание и мониторинг всех событий доступа к сетевым ресурсам и данным о держателях банковских карт (Track & Monitor All Access)
• Защита от внешних (таких, как внедрение SQL кода) и внутренних атак с помощью политик безопасности, оповещений в режиме реального времени, а также постоянного сравнения состояния баз данных с установленным базовым.
• Подобнейший контроль доступа. Например, ограничение доступа к таблицам с критическими данными из бизнес-приложений, подсетей, операционных систем и т.п.
• Контроль и расследование инцидентов с помощью длительного хранения данных аудита всех активностей, включая действия привилегированных пользователей.
• Автоматическое обнаружение и классификация критических данных (например, 16-тизначные номера кредитных карт); уведомление о размещении новых критических данных; уведомление о нехарактерных бизнес или ИТ-процессах, происходящих в ИТ-инфраструктуре.
• Контроль запрашиваемых конфиденциальных данных (в том числе нетипичные запросы и единовременный запрос большого объема данных).
• Контроль неструктурированных данных (таких как таблицы с информацией о держателях карт).
• Повышение эффективности операционной деятельности за счет автоматизации процессов соответствия всех приложений и платформ СУБД.
• Упрощение прохождения аудита за счет генерации необходимых аудиторам отчетов. PCI Accelerator включает шаблоны отчетов:
• IP-адреса серверов СУБД, содержащих информацию о владельцах пластиковых карт
• Базы данных держателей карт
• Информация о держателях карт (наборы полей, включающие в себя конфиденциальную информации, например, фамилию, имя, номера карты)
• Клиенты баз данных, обращающиеся к серверам баз данных, содержащим информацию о владельцах пластиковых карт (визуальная карта с указанием количества сессий)
• Активные пользователи баз данных
• Администраторы баз данных, работающие с информацией о держателях карт
• Приложения, используемые для доступа к информации о держателях карт
• Используемые учетные записи пользователей

©2009 Bellintegrator

Контакты | Карта сайта