Qualys führt QualysGuard PCI Connect ein, um den Zertifizierungs- und Validierungsprozess für PCI DSS zu vereinfachen

RSA-Konferenz (Stand # 1717) - 20. April 2009 - Qualys, Inc., der führende Anbieter von On-Demand-Lösungen für das Management von IT-Sicherheitsrisiken und Compliance, kündigte heute QualysGuard® PCI Connect an, das branchenweit erste Software-as-as-Service- (SaaS) Ökosystem für PCI-Compliance. PCI Connect wird Händler mit zahlreichen Partnern und deren Sicherheitslösungen vernetzen, um ihnen so die Einhaltung und Dokumentation aller 12 PCI-Anforderungen zu ermöglichen. Qualys stellt das neue Produkt diese Woche auf der RSA-Konferenz am Stand # 1717 vor.

QualysGuard PCI Connect ist ein On-Demand-Ökosystem, das zahlreiche Sicherheitslösungen zu einer einzigen End-to-End Business-Anwendung für PCI DSS-Compliance und -Validierung zusammenschließt. Als neue Erweiterung des weithin genutzen Dienstes QualysGuard PCI erleichtert PCI Connect Händlern und Acquiring-Banken Geschäftsprozesse im Zusammenhang mit PCI-Compliance und -Validierung – über eine umfassende, kollaborative Anwendung mit automatischen Funktionen für den Austausch und die Verteilung von Berichten. Der PCI-Compliance-Status wird laufend validiert und verfolgt. Händler, die QualysGuard PCI Connect verwenden, können leicht Bereiche identifizieren, in denen sie die Compliance-Anforderungen eventuell nicht erfüllen. Acquirer, die QualysGuard PCI Connect einsetzen, können leicht beurteilen, ob ein Händler den PCI-Anforderungen gerecht wird und ob ausreichende Nachweise für die Validierung vorgelegt wurden.

„Wir bei Merchant e-Solutions möchten dafür sorgen, dass alle unsere Händler im Jahr 2009 die PCI-Konformität erreichen, und suchen ständig nach Lösungen zur Ergänzung unserer internen PCI DSS-Verwaltungsinfrastruktur“, sagte Jim Aviles, Produkt- und Technologiemanager bei Merchant e-Solutions, einem Anbieter von herkömmlichen und internet-basierten Zahlungsdienstleistungen für Banken und Händler. „Mit QualysGuard PCI Connect bekommen unsere E-Commerce-Händler ein benutzerfreundliches Tool an die Hand, um auf kostengünstigere Weise Schwachstellen-Scans durchzuführen und die PCI-Compliance zu erreichen. Uns wiederum wird die Lösung in die Lage versetzen, die Verfolgung und Validierung ihres Compliance-Status zu integrieren.“

QualysGuard PCI Connect ist eine offene Plattform mit XML-APIs, die es Partnern und Lösungs-anbietern ermöglicht, automatisch Daten zum Nachweis der PCI-Konformität in QualysGuard PCI Connect einzuspeisen. Darüber hinaus werden Händler Lücken in ihrem PCI-Compliance-Programm ermitteln und mühelos auf Sicherheitslösungen zugreifen können, die ihren Bedürfnissen entsprechen.

„Compliance mit dem PCI-Datensicherheitsstandard ist kein einmaliges Ereignis, sondern ein kontinuierlicher Prozess“, erklärte Avivah Litan, VP renommierter Analyst bei Gartner Inc. “Die Sicherheit sollte laufend und weitmöglichst automatisch überwacht werden, sodass sich manuelle Analysen und Interventionen auf besonders risikoträchtige Aktivitäten konzentrieren können.“

QualysGuard PCI Connect bietet Händlern und Aquiring-Banken folgende Vorteile:

• Automatisiert die Sammlung von Daten zur Validierung der PCI DSS-Compliance
• Händler sehen bei der Beantwortung des Selbstbewertungs-Fragebogens (SAQ) detaillierte Resultate für sämtliche PCI-Anforderungen für das gesamte Unternehmen, ein-schließlich relevanter Nachweise
• Workflow für Händler erlaubt es, den gesamten Compliance-Status laufend zu verfolgen
• Offene API ermöglicht die Integration mit allen Sicherheitslösungen und -anbietern
• Der Acquiring-Bank stehen zusätzliche Sicherheitskontrollen zur Verfügung, wenn sie Händler auf die Einhaltung des PCI-Standards hin überprüft

Bei der RSA-Konferenz haben sechs Anbieter von PCI-DSS-Lösungen Partnerschaften mit Qualys geschlossen und können nun automatisch Daten in QualysGuard PCI Connect einspeisen:

• AirTight Networks integriert seinen Service SpectraGuard® Online, das einzige derzeit auf SaaS-Basis verfügbare WIPS, mit QualysGuard PCI Connect. SpectraGuard Online automatisiert die Compliance mit Anforderung 11.1 des PCI-Standards, die mindestens einen vierteljährlichen Scan aller drahtlosen Umgebungen oder die Implementierung eines Wireless IDS/IPS vorschreibt.

• Core Security Technologies’ Flaggschiff IMPACT Pro ist die marktführende Commercial-Grade-Software für Penetrationstests. Händler, die gemäß Anforderung 11.3 des PCI-Standards regelmäßige Penetrationstests durchführen wollen, setzen Core IMPACT Pro ein, um ihre Netzwerke und Webanwendungen robusten, reproduzierbaren und nachweisbaren Analysen zu unterziehen.

• Impervas SecureSphere Data Security Suite adressiert PCI DSS Abschnitt 6.6 mit einer Web Application Firewall und die Abschnitte 10 sowie 3.4 mittels Lösungen zur Überwachung von Datenbankaktivitäten und einer Datenbank-Firewall.

• RedSeal Systems analysiert automatisch, auf welche Weise Firewalls und Router zusammenarbeiten, um an sämtlichen Stellen eines Unternehmensnetzwerks Zugriffe zu erlauben oder zu unterbinden. Auf Basis dieser Informationen überprüft die Lösung, ob die Netzwerkkonfigurationen den Vorschriften zur Netzwerksicherheit gemäß PCI DSS-Anforderung 1 entsprechen.

• Splunk bietet einen Überblick über die gesamte PCI-Compliance-Aufstellung und deckt dabei alle Anforderungen von PCI DSS ab. Dazu zählen insbesondere PCI-LogManagement, Überwachung der Datei-Integrität und Kontrollberichterstattung, entsprechend den PCI DSS-Anforderungen 7.1, 10.2, 10.5, 10.6, 10.7 und 11.5.

• Third Brigade bietet umfassenden Server- und Anwendungsschutz, einschließlich Integritätsüberwachung, IDS/IPS, Schutz von Webanwendungen, Anwendungskontrolle, Stateful Firewall und Protokollprüfung, in einer modularen, zentral verwalteten Softwarelösung, die die PCI DSS-Anforderungen 1, 2, 6, 10, 11 und 12 abdeckt.

„Feedback von Kunden, die von PCI DSS betroffen sind, machte uns klar, dass eine zentralisierte Lösung benötigt wird, die Daten für die verschiedenen PCI-Anforderungen sammelt, damit der Prozess vereinfacht wird und die Händler mehr technische Optionen für die PCI-Validierung haben“, sagte Philippe Courtot, CEO und Chairman von Qualys. „Wir freuen uns sehr, dass wir gemeinsam mit all diesen führenden Anbietern von PCI DSS-Lösungen eine solche kollaborative Lösung für Händler und Acquirerer bereitstellen können, die die PCI-Compliance auf allen Ebenen unterstützt, managt und verfolgt.”

QualysGuard PCI Connect ist eine Erweiterung der On-Demand-Plattform QualysGuard PCI, der einfachsten, kosteneffizientesten und hoch automatisierten Lösung zur Validierung der PCI DSS-Compliance für Unternehmen, Online-Händler und Acquirerer. Qualys ist ein Approved Scanning Vendor (ASV) und umfassend zertifiziert, um die Einhaltung von PCI DSS zu bewerten. Derzeit nutzen 68 Prozent aller PCI DSS ASVs und 49 Prozent aller QSAs QualysGuard, um ihren Kunden weltweit zur PCI-Zertifizierung zu verhelfen und automatische Scans von Webanwendungen durchzuführen.

Verfügbarkeit

QualysGuard PCI Connect wird im Juli 2009 zur Verfügung stehen.

Partner-Zitate

„AirTight freut sich sehr, Teil des QualysGuard PCI Connect-Ökosystems zu sein, womit der Tatsache Rechnung getragen wird, dass Drahtlostechnologien integraler Bestandteil einer umfassenden Sicherheits- und Compliance-Lösung sein müssen“, sagte David King, Chairman und CEO von AirTight. „Wenn man sich die zahlreichen Vorschriften von PCI DSS ansieht, kann dies geradezu beängstigend sein. Mit der Vernetzung von Partnern wie AirTight, die Best-in-Class-Sicherheitslösungen bereitstellen, bietet Qualys jetzt ein integriertes Framework, mit dem die Kunden die Compliance-Anforderungen von PCI DSS sehr leicht einhalten können, einschließlich der neuen Standards, die speziell für Drahtlostechnologien gelten.“

„Händler und Acquirerer nutzen Core Impact Pro, um denjenigen Elementen des PCI DSS-Standards zu entsprechen, die sich auf Pentrationstests beziehen, sowie aktiv die Effektivität zahlreicher Sicherheitsmechanismen zu testen, die der Standard vorschreibt“, so Jeff Clark, VP Business Development bei Core Security Technologies. „Als Mitglied von PCI Connect können wir die Händler nun besser dabei unterstützen, weitere Anforderungen des PCI-Compliance-Prozesses zu erfüllen, und ihnen mehr Möglichkeiten bieten, um ihre realen Online-Risiken zu messen.”

„Die Kunden betrachten Imperva SecureSphere als den Branchenstandard für Web Application Firewalls, Überwachung von Datenbankaktivitäten und Datenbank-Firewalls im Zusammenhang mit PCI Compliance“, sagte Rohit Gupta, VP Business Development bei Imperva. „Wir freuen uns, mit Qualys zusammenarbeiten und so den Kunden helfen zu können, ihren PCI-Validierungsprozess über eine zentrale Lösung zur Sammlung und Verfolgung von Daten zu vereinfachen.“

„RedSeal freut sich, bei PCI Connect Partner von Qualys zu sein“, sagte Steve Dauber, Vice President of Marketing von RedSeal Systems. „Gemeinsam mit den Lösungen der anderen Mitglieder des Ökosystems werden RedSeals automatische Analysen zur DSS-Anforderung 1 den Acquiring-Banken bessere Gewähr bieten, dass wertvolle Karteninhaberdaten sicher gespei-chert und übertragen werden.“

„Die Erfüllung der aktuellen PCI-Compliance-Anforderungen verlangt weit mehr, als einfach nur Logdaten zu sammeln, zu speichern und zu analysieren. PCI-Lösungen müssen flexibel sein, damit die Anwender auf fallweise Wünsche von Auditoren reagieren und sich schnell anpassen können, wenn sich die Vorschriften ändern“, erklärte Michael Baum, Chief Corporate/Business Development Officer und Mitgründer von Splunk. „Wir freuen uns sehr, am QualysGuard PCI Connect-Programm teilnehmen und den Kunden unsere flexible IT-Suchtechnologie Splunk for PCI anbieten zu können – eine Lösung, die sich schnell an neue Steuerungsvorgaben und Vorschriften zur Policy-Überwachung anpassen lässt und leistungsstarke Funktionen für Ad-hoc-Reporting bietet, um Audit-Anforderungen binnen Minuten zu erfüllen, statt im Lauf von Stunden oder Tagen.“

„Unsere Kunden, von Fortune 100-Unternehmen bis hin zu Universitäten und Einrichtungen des Gesundheitswesens, möchten die PCI-Compliance leichter, schneller und kosteneffizienter erreichen und aufrechterhalten. Doch kein einzelner Anbieter ann alle Puzzleteile zur Verfügung stellen“, sagte Dhanya Thakkar, Vice President Business Development bei Third Brigade. „QualysGuard PCI Connect ist ein bahnbrechendes Ökosystem, und die daraus resultierende Integration wird das Compliance-Management vereinfachen und letztlich die Compliance-Kosten senken.“

Über Qualys

Qualys, Inc. ist der führende Anbieter von On-Demand-Lösungen für IT-Sicherheits- und Compliance-Management, die als Service bereitgestellt werden. Die Software-as-a-Service-Lösungen von Qualys können innerhalb von Stunden an jedem Ort der Welt verfügbar gemacht werden und vermitteln den Kunden einen sofortigen und kontinuierlichen Überblick über ihre Sicherheits- und Compliance-Aufstellung.
Der Service QualysGuard® wird derzeit von mehr als 3.500 Unternehmen in 85 Ländern genutzt – darunter 35 der Fortune Global 100 – und führt pro Jahr mehr als 200 Mio. IP-Audits durch. Bei einem Unternehmen der Fortune Global 50 betreibt Qualys die weltweit größte Installation einer Schwachstellenmanagement-Lösung mit mehr als 223 Appliances, die auf 53 Länder verteilt sind und mehr als 700.000 Systeme scannen. Qualys hat strategische Vereinbarungen mit führenden Managed Service Providern und Consulting-Firmen geschlossen, darunter BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, SecureWorks, Symantec, TELUS und Verisign. Weitere Infos unter www.qualys.com.

###

Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.

For media inquiries or to find the appropriate spokesperson
Contact: Ursula Kafka
Kafka Kommunikation
+49 89 76759434
info@kafka-kommunikation.de

For all other matters
Contact: pr@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com