19/03/2025 4m read

Wieso jedes Unternehmen eine PCI 4.0-konforme SASE-Plattform haben sollte 

Daniel Liber
Daniel Liber
PCI_4.0_certified_

Inhaltsverzeichnis

Cato gab heute bekannt, dass es der erste Anbieter einer SASE-Plattform ist, der die PCI DSS v4.0-Compliance erreicht hat. Genauer gesagt, die Einhaltung von PCI DSS v4.0.1. Die Einhaltung von PCI DSS v4.0 ist zwar besonders wichtig für Einzelhändler, die Zahlungsdaten verarbeiten, aber auch andere Branchen profitieren davon, indem sie ihre Sicherheitslage verbessern, das Risiko verringern und die Einhaltung der branchenweit besten Praktiken demonstrieren. 

Was ist PCI DSS v4.0 und warum ist es wichtig? 

Der Payment Card Industry Data Security Standard (PCI DSS oder kurz „PCI“) ist ein weltweit anerkanntes Rahmenwerk zum Schutz von Zahlungskartendaten. PCI ist eine zwingende Anforderung für Einzelhändler, die Zahlungskartendaten verarbeiten – also für praktisch alle Einzelhändler. Version 4.0 ist die jüngste Weiterentwicklung des PCI-Standards und führt verbesserte technische und betriebliche Kontrollen ein, um der wachsenden Komplexität von Cyber-Bedrohungen zu begegnen. Wichtige Aktualisierungen in v4.0 umfassen: 

  • Fokus auf kontinuierliche Sicherheit: Schwerpunkt auf Echtzeitüberwachung, Tests und Erkennung von Bedrohungen. 
  • Unterstützung für aufkommende Bedrohungen: Erweiterte Richtlinien zur Minderung von Risiken, die mit neuen und sich entwickelnden Angriffsvektoren verbunden sind. 
  • Zusätzlicher Fokus auf TPSPs (Drittanbieter-Serviceanbieter): TPSPs, die die Sicherheit der Daten der Karteninhaber der Kunden beeinträchtigen könnten, müssen nachweisen, dass sie die geltenden PCI-Anforderungen erfüllen. 

Bei der Erfüllung von PCI DSS v4.0 geht es nicht nur um die Einhaltung von Mindestanforderungen. Es geht darum, ein proaktives Engagement für die Sicherheit sowohl von der Organisation als auch von ihren kritischen TPSPs zu demonstrieren.  

Warum ist die PCI DSS v4.0-Compliance bahnbrechend für SASE? 

Traditionelle Sicherheitsmodelle haben oft Schwierigkeiten, mit den Anforderungen moderner IT-Umgebungen Schritt zu halten, in denen Anwendungen, Benutzer und Daten über lokale, Cloud- und hybride Infrastrukturen verteilt sind. Die Cloud-native, konvergente Architektur der Cato SASE Cloud-Plattform vereint Netzwerk und Sicherheit in einer einzigen Plattform – ein wesentlicher Vorteil zur Erreichung der Compliance.

Als kritische TPSPs sind SASE-Anbieter dafür verantwortlich, ihre PCI DSS-Compliance nachzuweisen, wie von Organisationen gefordert, die Compliance-Programme verwalten. Cato erreichte die strengste TPSP-Zertifizierung (PCI DSS Service Provider Level 1), die Folgendes umfasst:

  • Jahresbericht über die Einhaltung (Report on Compliance, ROC) durch einen qualifizierten Sicherheitsprüfer (Qualified Security Assessor, QSA). 
  • Vierteljährlicher externer Netzwerk-Scan durch einen genehmigten Scanning-Anbieter (Approved Scanning Vendor, ASV). 
  • Jährliche Penetrationstests durch eine qualifizierte interne Ressource oder einen externen Dritten.
  • Vierteljährliche interne Scans im Rahmen der eigenen internen Schwachstellenbewertungen des Anbieters.
  • „Attestation of Compliance (AOC)“-Formular, eine formale Bestätigung, dass ein Unternehmen alle PCI DSS-Anforderungen erfüllt hat, was die Compliance-Berichterstattung und die Risikobewertung von Anbietern für CIOs vereinfacht.
Security, Compliance and Privacy Center | Take a look

PCI-Compliance: Einzelhandel und darüber hinaus  

Mit der „PCI DSS Service Provider Level 1“-Zertifizierung vereinfacht Cato die Compliance-Bemühungen unserer Kunden, reduziert die Komplexität und erleichtert ihre PCI-Prüfungen. Das kommt natürlich den Einzelhändlern zugute, aber auch jedem anderen Unternehmen. Es wäre für viele Organisationen schwierig, wenn nicht sogar unmöglich, sicherzustellen, dass ein Dienstanbieter regelmäßig Scans oder Penetrationstests durchführt. Die PCI-Compliance wird zu einer einfachen Möglichkeit, die Einhaltung dieser Best Practices zu bestätigen.

Die PCI-Compliance hilft Unternehmen auch dabei, ihre Sicherheitsstrategien zukunftssicher zu machen. Während sich die Compliance-Standards weiterentwickeln, sorgt Cato dafür, dass Unternehmen durch die fortlaufende Einhaltung dieser kritischen Anforderungen einen Schritt voraus bleiben.

Das Erreichen der PCI DSS v4.0-Zertifizierung ist nicht nur ein Meilenstein in der Regulierung, sondern spiegelt auch das kontinuierliche Engagement von Cato wider, Kundendaten zu schützen, die Einhaltung von Vorschriften zu vereinfachen und es Unternehmen zu ermöglichen, sich auf Innovationen zu konzentrieren. Mit Cato als vertrauenswürdigem Partner erhalten Unternehmen eine robuste Sicherheitsgrundlage, die den höchsten Branchenstandards entspricht.

Related Topics

Daniel Liber

Daniel Liber

Daniel Liber ist seit über 19 Jahren in der Cybersicherheitsbranche tätig und verfügt über umfassende Erfahrung sowohl als externer Berater als auch im internen Sicherheitsteam. Er arbeitete als Penetrationstester und Application Security Engineer für Comsec, Leumi Bank, CyberArk und Amdocs und war später als Application Security Manager und CISO bei Playtech (LSE:PTEC) tätig. Daniel hält Vorträge auf verschiedenen Konferenzen (OWASP, BSides, DeepSec) und berät junge Startups. Daniel verfolgt bei Cato Networks gemeinsam mit dem Sicherheitsteam das Ziel, Cato nicht nur zum besten, sondern auch zum sichersten Produkt zu machen.

Read More

Weitere Artikel

Unkategorisiert

Warum IT-Führungskräfte DEM brauchen für ihre hybride Cloud

Warum IT-Führungskräfte DEM brauchen für ihre hybride Cloud
user photo
Eyal Webber Zvik
In der sich schnell entwickelnden digitalen Landschaft von heute sind IT-Führungskräfte, ob CIOs, CISOs oder VPs of IT, dafür verantwortlich, eine Reihe von Initiativen voranzutreiben, die den Wachstum und den Erfolg des Unternehmens ermöglichen. Projekte wie Cloud-Migration, Hybrid Workforce Enablement und SaaS-Implementationen sind heute unerlässlich. Diese Initiativen bergen jedoch inhärente Risiken, die sorgfältig verwaltet werden...
Mehr lesen
Unkategorisiert

GenAI-Sicherheit entmystifiziert - und wie Cato Ihnen hilft, den Zugriff Ihrer Organisation zu ChatGPT zu sichern

GenAI-Sicherheit entmystifiziert - und wie Cato Ihnen hilft, den Zugriff Ihrer Organisation zu ChatGPT zu sichern
user photo
Vadim Freger
Im vergangenen Jahr wurden unzählige Artikel, Vorhersagen, Prophezeiungen und Warnungen über die Risiken von KI geschrieben, wobei GenAI (Generative AI) und ChatGPT im Mittelpunkt standen. Das Spektrum reicht von der Ethik bis hin zu weitreichenden Auswirkungen auf die Gesellschaft und Arbeitskräfte („Nein, Mama, der Terminator wird erstmal nicht Wirklichkeit…“).Die Vorhersagen und Befürchtungen haben Cato Security...
Mehr lesen
Unkategorisiert

Cato CTRL: Eine neue Vision für erweiterte Threat Intelligence-Berichte

Cato CTRL: Eine neue Vision für erweiterte Threat Intelligence-Berichte
user photo
Etay Maor
In den letzten zwanzig Jahren habe ich eine einzigartige Reise durch die Cybersicherheitslandschaft unternommen. Mein Weg führte mich von der Welt des Hackens und der Wissenschaft bis in das Herz der Threat Intelligence (TI) und gipfelte in meiner jetzigen Position. Seit ich 2021 zu Cato gekommen bin, leite ich deren Sicherheitsstrategie und bin stolz darauf,...
Mehr lesen

Innovieren, wachsen und florieren

Mit einer echten SASE-Plattform

Mit Cato kann jedes Unternehmen die Vorteile der digitalen Transformation voll ausschöpfen, mit der Geschwindigkeit des Geschäfts vorankommen und für die nächsten Herausforderungen gerüstet sein…….

Contact us

Cato Networks
13x anerkannt
von Gartner

Gartner Market Guide zu Managed SD-WAN-Services

Gartner Hype Cycle zu mittelständischen Unternehmen, 2021

Gartner Market Guide zu virtuellen privaten Netzwerken

Gartner Hype Cycle for Threat-Facing Technologies, 2019

Gartner Market Guide zu Zero-Trust-Netzwerkzugriff

Gartner Hype Cycle zu Edge Computing, 2021

Hype Cycle for Business Continuity Management and IT Resilience, 2021

Gartner Hype Cycle zu Netzwerksicherheit, 2021

Gartner Hype Cycle zu Unternehmensnetzwerken, 2021

Gartner Hype Cycle zu digitalen Arbeitsplatzlösungen, 2021

Gartner Hype Cycle zu Cloudsicherheit, 2021

Gartner Hype Cycle for Cloud Computing, 2021

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose