Qualys, de leverancier van Software-as-a-Service-oplossingen voor on-demand IT security risk en compliance management, annonceert vandaag QualysGuard PCI Connect, het eerste Software-as-as-Service (SaaS) ecosysteem voor PCI compliance dat retailers aansluiting biedt op meerdere partners en security-oplossingen teneinde gedocumenteerd tegemoet te komen aan alle 12 eisen van de PCI Data Security Standard (DSS). Qualys onthult het nieuwe product op de RSA Conference.
QualysGuard PCI Connect is een on-demand ecosysteem dat meerdere security-oplossingen samenbrengt in een unified end-to-end bedrijfsapplicatie voor PCI DSS compliance en validatie. QualysGuard PCI Connect is een nieuwe toevoeging op de breed toegepaste QualysGuard PCI service. Het stroomlijnt bedrijfsprocessen die te maken hebben met PCI compliance en validatie voor retailers en kopers, alles vanuit één gecombineerde collaborative applicatie met geautomatiseerde deling en distributie van rapportages. Het volgen van de PCI compliance status gebeurt doorlopend. Winkeliers die QualysGuard PCI Connect gebruiken, kunnen gemakkelijk gebieden identificeren waarin ze niet compliant zijn. Kopers die QualysGuard PCI Connect gebruiken kunnen gemakkelijk nagaan of winkeliers voldoen aan PCI eisen en of er voldoende ondersteunend materiaal is ingediend voor de PCI compliance validatie.
"We zijn bezig om PCI DSS compliance op te leggen aan de 20.000 handelaren in onze community. Daarom zijn we voortdurend op zoek naar oplossingen die onze winkeliers helpen om PCI compliance te bereiken," zegt James M. Aviles, manager products and technology bij Merchant e-Solutions, een aanbieder van traditionele en internet-gebaseerde betaaldiensten voor banken en winkeliers. "QualysGuard PCI Connect geeft onze handelaars een gemakkelijk te gebruiken tool om tegen lagere kosten PCI compliance te managen en te documenteren. En het geeft ons de mogelijkheden om hun compliance status te volgen en te valideren."
QualysGuard PCI Connect is een open platform met XML APIs die partners en solution providers in staat stellen geautomatiseerd data feeds aan te leveren aan QualysGuard PCI Connect om het niveau van hun compliance te laten zien. Bovendien kunnen retailers gaten in hun PCI compliance programma ontdekken en gemakkelijk aansluiten op security oplossingen die in hun behoeften kunnen voorzien.
"Compliance met de PCI Data Security Standard is een doorlopend proces en geen eenmalige gebeurtenis, " zegt Avivah Litan, VP en analist van Gartner. "Security monitoring zou continu en zoveel mogelijk geautomatiseerd moeten gebeuren, zodat menselijke analyse en ingrijpen zich kan concentreren op activiteiten met een hoog risico."
QualysGuard PCI Connect biedt handelaren en kopers de volgende voordelen:
- ¾ Geautomatiseerde datacollectie voor de validering van PCI DSS compliance
- ¾ Handelaren zien gedetailleerde uitkomsten, inclusief ondersteunende documentatie voor alle vereisten van PCI over de hele organisatie bij het invullen van SAQ’s (Self Assessment Questionnaires)
- ¾ Voorziet handelaren van workflow functionaliteit om de complete compliance status doorlopend te volgen
- ¾ Open API om samen te werken met elke security oplossing of leverancier
- ¾ De bankinstelling heeft extra security controls over handelaren bij het valideren van hun compliance
Op de RSA Conference zijn zes security vendors partnerships met Qualys aangegaan voor het leveren van PCI DSS oplossingen en het geautomatiseerd aanleveren van data feeds aan QualysGuard PCI Connect:
- ¾ AirTight Networks integreert haar SpectraGuard® Online service, momenteel het enige SaaS Wireless Intrusion Prevention System (WIPS) met QualysGuard PCI Connect. SpectraGuard Online automatiseert compliance met PCI Requirement 11.1, dat minimaal eens per kwartaal een wireless scan vereist van alle locaties dan wel de toepassing van een wireless IDS/IPS.
- ¾ Core Security Technologies‘ vlaggenschip IMPACT Pro is de toonaangevende penetration testing software oplossing voor commercieel gebruik. Handelaren die willen voldoen aan PCI Requirement 11.3, die regelmatige penetration testing voorschrijft, gebruiken Core IMPACT Pro voor robuuste, herhaalbare en meetbare assessment van hun netwerken en webapplicaties.
- ¾ Imperva SecureSphere Data Security Suite dekt PCI DSS sectie 6.6 af via Web Application Firewall en secties 10 and 3.4 via database activity monitoring en database firewall oplossingen.
- ¾ RedSeal Systems analyseert automatisch hoe firewalls en routers samenwerken om op elk punt netwerktoegang te verlenen of te blokkeren. Op basis van deze informatie valideert het of een netwerkconfiguratie voldoet aan de eisen op het gebied van network security van PCI DSS Requirement 1.
- ¾ Splunk biedt een overall beeld van de PCI compliance status met betrekking tot alle requirements. Specifiek: PCI log management, file integrity monitoring en control reporting. PCI DSS Requirements, 7.1, 10.2, 10.5, 10.6, 10.7, 11.5
- ¾ Third Brigade voorziet in uitgebreide server en applicatie bescherming, inclusief integrity monitoring, IDS/IPS, Web application protection, application control, stateful firewall en log inspection, in een modulaire, centraal gemanagede softwareoplossing die PCI DSS Requirements 1, 2, 6, 10, 11 en 12 adresseert.
"Toen we naar onze klanten luisterden die bezig waren met PCI DSS, werd duidelijk dat er een gecentraliseerde oplossing nodig was voor het verzamelen van de data voor de diverse PCI eisen teneinde het proces te kunnen stroomlijnen en de handelaren meer technologische opties te bieden voor PCI validatie," zegt Philippe Courtot, CEO en Chairman van Qualys. "We vinden het geweldig om samen te werken met alle toonaangevende PCI DSS solution providers om zo’n collaborative oplossing te bieden aan handelaren en kopers voor het op alle niveaus faciliteren, managen en volgen van PCI compliance."
QualysGuard PCI Connect is een uitbreiding van het QualysGuard PCI on-demand platform dat bedrijven, online winkeliers en kopers uitrust met de gemakkelijkste, meest kosteneffectieve en hoog-geautomatiseerde methode om PCI DSS compliance te valideren. Als Approved Scanning Vendor (ASV) is Qualys volledig gecertificeerd om PCI DSS compliance vast te stellen. Momenteel maakt 68 procent van alle PCI DSS ASVs en 49 procent van de Qualified Security Assessors (QSAs) gebruik van QualysGuard om PCI certificering en geautomatiseerde Web application scanning te bieden aan hun klanten wereldwijd.
Citaten van partners
"AirTight is er mee ingenomen deel uit te maken van het QualysGuard PCI Connect ecosysteem, dat onderkent dat wireless een integraal onderdeel is van een complete oplossing voor security en compliance," zegt David King, chairman en CEO van AirTight. "Het navigeren door de vele eisen van PCI DSS kan een uitdaging zijn. Door partners met eersteklas security-oplossingen bij elkaar te brengen, zoals AirTight, biedt Qualys een geïntegreerd raamwerk waarmee klanten in staat zijn om heel gemakkelijk te voldoen aan de compliance eisen van PCI DSS, inclusief de nieuwe standaards die specifiek op wireless van toepassing zijn."
"Retailers en kopers gebruiken Core Impact Pro om te voldoen aan de penetratietestelementen van de PCI DSS standaard. Ze doen aan actieve testing van de effectiviteit van veel voorgeschreven security mechanismen," zegt Jeff Clark VP business development van Core Security Technologies. "Als lid van PCI Connect zijn we nu beter gepositioneerd om handelaren te helpen additionele elementen van het PCI compliance proces af te handelen, alsmede om de mogelijkheden van deze organisaties te vergroten om hun cyberrisico’s in de echte wereld te meten."
"Klanten zien Imperva SecureSphere als de standaard voor Web application firewall, database activity monitoring en database firewall oplossingen voor PCI Compliance," zegt Rohit Gupta, VP business development bij Imperva. "Imperva is verheugd te partneren met Qualys om klanten te helpen hun PCI validatieprocessen te stroomlijnen via een centrale oplossing voor het verzamelen en tracken van data.
"RedSeal is verheugd om op te trekken met Qualys binnen PCI Connect," zegt Steve Dauber, vice-president marketing van RedSeal Systems. "Samen met andere leden van het ecosysteem helpt RedSeal’s geautomatiseerde assessment van DSS Requirement 1 de verzekering te geven aan banken dat waardevolle data van kaarthouders veilig worden opgeslagen en uitgewisseld."
"Voldoen aan de huidige PCI compliance eisen gaat veel verder dan eenvoudige log collection, retention and analysis. PCI oplossingen moeten flexibel zijn om te kunnen responderen op ad-hoc verzoeken van auditors en om gemakkelijk aan te passen als de eisen veranderen," zegt Michael Baum, chief corporate en business development officer en co-founder van Splunk. "We zijn enthousiast deel uit te maken van het QualysGuard PCI Connect program om klanten onze flexibele IT Search technologie, Splunk for PCI, te bieden die zich gemakkelijk aanpast aan nieuwe doelstellingen op het gebied van control en policy monitoring, en die voorziet in krachtige mogelijkheden voor ad-hoc reporting om audit verzoeken te beantwoorden in minuten, in plaats van in uren of dagen."
"Onze klanten, variërend van Fortune 100 companies tot universiteiten en zorginstellingen, willen PCI compliance gemakkelijker, sneller en tegen lagere kosten bereiken en handhaven. Maar geen enkele leverancier biedt alles stukjes van de puzzel," zegt Dhanya Thakkar, vice president business development van Third Brigade. "QualysGuard PCI Connect is een baanbrekend ecosysteem en de daaruit voortvloeiende integratie zal het beheer vergemakkelijken en uiteindelijk de kosten van compliance reduceren."
Beschikbaarheid
QualysGuard PCI Connect komt in juli 2009 beschikbaar.