Der PCI-DSS-Geltungsbereich eines Händlers (Merchant) oder Dienstleisters (Service Provider) kommt an der Anwendungskante in seinen wahren Moment. Internetexponierter Verkehr endet hier. CDE-Zugriffsentscheidungen werden hier getroffen. Karteninhaberdaten treten hier ein und aus. PCI DSS v4.0.1 hat diese Kante verdichtet: Nach Req 8.4.2 gilt MFA für die CDE nun nicht mehr nur für Administratoren, sondern für jedes Konto; die Network Security Controls nach Req 1 sind so definiert, dass sie über stateful Firewalls hinaus anwendungsbewusste Proxys und software-defined Isolation umfassen; die neuen client-seitigen Kontrollen nach Req 6.4.3 und 11.6.1 bringen Schutz gegen Skimming-Angriffe auf Zahlungsseiten; die Observability auf Audit-Niveau nach Req 10 muss kontinuierlich statt jährlich sein.
Die klassischen Antworten sind teuer. Add-on-Kit: ein WAAP-Modul von einem Hersteller, ein Zugriffsmodul von einem anderen, ein Multi-Tenancy-Add-on vom dritten, Maskierung sensibler Daten vom vierten — jeweils separat lizenziert, jeweils ein eigenes Panel, alle von Ihrem Team integriert. Cloud-Edge: Verlagern Sie Karteninhaberdaten auf ein Drittanbieter-WAAP — geben Sie den Pfad zwischen Nutzer und CDE an die Plattform eines anderen; wenn der Prüfer fragt „Wo werden Karteninhaberdaten geprüft?“, lautet Ihre Antwort „in der Cloud eines anderen“.
Der dritte Weg ist der, den die meisten Operations-Teams wirklich wollen: die PCI-Kontrollen an der Anwendungskante über ein Netzwerk, das bereits innerhalb Ihrer Auditgrenze liegt, auf einer Plattform abdecken. TR7 ist für diesen Weg gemacht. TLS, WAAP, MFA für die CDE, vTenant-Isolation, Maskierung sensibler Daten und Audit; auf demselben TR7. Der Prüfer verlangt Nachweise; ein Operator-Panel erzeugt sie.
Jede einzelne ist wichtig. Alle zusammen beschreiben, wie eine PCI-Compliance aussieht, bei der die Anwendungskante auf einer Plattform läuft.
TLS-Terminierung an der TR7-Edge mit modernen Ciphern, aktuelle Zertifikate, OCSP-Stapling, HSTS und mTLS-Option, wo nötig. Karteninhaberdaten erfüllen die Kryptografie-Erwartungen nach Req 4.2.1, bevor sie das Backend erreichen.
Prüft jede Anfrage an eine internetexponierte Anwendung, bevor sie die CDE erreicht. TR7 WAAP kombiniert eine Bibliothek von 10.000+ Signaturen, eine 11-Faktor-Scoring-Engine und inhaltsbewusste Regeln; CWE/CAPEC/MITRE-Mapping macht Audit- und Vorfallsnachweise nachvollziehbar. Req 6.4.2 verlangt eine Lösung vor öffentlich zugänglichen Anwendungen — TR7 ist diese Lösung.
PCI DSS v4.0 erweiterte die MFA-Verpflichtung von nur Administratoren auf jedes Konto, das auf die CDE zugreift. TR7 AAM setzt Multi-Faktor-Authentifizierung an der Zugriffskante mit OIDC, SAML, TOTP, FIDO2 durch und führt Step-up bei Kontextänderung durch. Dieselbe Kontrolle deckt internes Personal, externe Quellen und Service-Konten ab, wenn sie über TR7 zur CDE gelangen.
PCI DSS v4.0 hat das Konzept „Firewall“ als Network Security Controls neu gerahmt und anwendungsbewusste Proxys und software-defined Isolation ausdrücklich einbezogen. TR7 liefert genau das: vTenant für administrative und operationelle Isolation zwischen CDE- und Nicht-CDE-Workloads, QoS-Pools, die dem CDE-Verkehr seinen eigenen Bandbreitenumschlag geben, und vService-basierte Routing-Tabellen, die CDE-gerichtete Flüsse getrennt halten. Für PCI-Dienstleister erfüllt vTenant die Multi-Tenant-Verpflichtungen von Appendix A1, ohne dass für jeden Händler ein separates Gerät nötig ist.
TR7 erkennt PAN, CVV und andere sensible Muster in API- und HTML-Antworten und maskiert sie gemäß Policy, bevor sie die Anwendungskante verlassen. Req 3.4 verlangt, dass PAN überall dort unlesbar ist, wo es gespeichert oder in unautorisierten Kontexten angezeigt wird — TR7 setzt diese Grenze auf dem Ausgabepfad durch, ohne Codeänderung in der Anwendung.
Zugriffsereignisse, Verkehrsentscheidungen, WAAP-Erkennungen, MFA-Ergebnisse und SSH-Sitzungen zu Management-Zielen teilen sich denselben Audit-Trail. Befehlsweise SSH-Aufzeichnung; untersuchungsbereit ohne ein separates PAM-Produkt. Der SIEM-Export erfolgt mit plattformweit konsistenter Taxonomie — die vom Prüfer verlangten Nachweise kommen aus einer Quelle.
Jede der folgenden Fähigkeiten läuft auf derselben TR7-Plattform, die Ihre modernen Services ausliefert und schützt.
Aktuelle TLS-Versionen, moderne Cipher-Suites, OCSP-Stapling, automatisches Zertifikatsmanagement. mTLS-Option, wo nötig. Unterstützt die Erwartungen von Req 4.2.1 zur Sicherheit von Karteninhaberdaten während der Übertragung.
10.000+ Signaturen und eine 11-Faktor-Scoring-Engine. OWASP-Kategorien, framework-spezifische Schutzmaßnahmen, CWE/CAPEC/MITRE-Mapping für Audit und Forensik. Inline-Blocking- oder Detection-only-Modi.
Injizieren Sie Content Security Policy, Subresource Integrity, X-Frame-Options, HSTS und andere Sicherheits-Header im visuellen Policy-Builder. Die Header werden an der Edge konfiguriert, nicht im Legacy-Anwendungscode, der sie nie gesetzt hat.
Prüfen Sie HTML- und JSON-Antworten aus einem kompromittierten Backend auf unautorisierte Script-Tags oder unerwartete Inhalte. Erkennt eine serverseitige Verletzung, die skimmerartige Ausgabe erzeugt, bevor sie den Browser erreicht.
Multi-Faktor-Authentifizierung für jedes Konto, das über TR7 auf die CDE zugreift. TOTP, FIDO2, Push und SMS; Step-up bei Kontextänderungen wie neuem Gerät, neuer Geografie oder sensibler Ressource.
Der Per-Service-Authentication-Modus von AAM umschließt eine Legacy-CDE-Anwendung mit OIDC- oder SAML-SSO von Ihrem IdP. Das Legacy-Backend erhält das erwartete Identitätsfragment; der Nutzer meldet sich auf dem modernen Weg und mit MFA an.
Mandantenisolation auf Plattformebene. Tenants teilen sich TR7, sind aber administrativ, operationell und observationell getrennt. CDE-Workloads können in ihren eigenen Tenants leben — eine designbedingt auditierbare Grenze. Für Dienstleister werden die Verpflichtungen von Appendix A1 unterstützt.
CDE-Verkehr in seinem eigenen Bandbreitenumschlag; CDE-gerichtete Flüsse in dedizierten Routing-Tabellen. In der Terminologie von PCI DSS v4.0 sind Network Security Controls ausdrücklich breiter als stateful Firewalls — anwendungsbewusste Proxys, ACLs und software-defined Isolation zählen dazu. TR7 deckt diese Kontrollfläche auf der Anwendungsschicht ab.
PAN-Truncation-Regeln, CVV-Unterdrückung, konfigurierbare Mustermaskierung in ausgehenden Antworten. Die PAN-Anzeigeverpflichtungen von Req 3.4 werden an der Ausgabekante erfüllt, ohne den Anwendungscode zu ändern.
Ein Operator-Panel und ein Audit-Trail über die Auslieferungs-, Sicherheits-, Zugriffs- und DDoS-Schichten hinweg. SIEM-Export mit konsistenter Taxonomie. Unterstützt die Verpflichtungen von Req 10 zu Inhalt, Aufbewahrung und Überprüfung.
SSH-Sitzungen, die über TR7 die Backend-CDE-Management-Ziele erreichen, werden auf Befehlsebene aufgezeichnet — jeder Befehl, jede Antwort. Audit in Untersuchungsqualität für den privilegierten Zugriff, der Req 8 und Req 10 am wichtigsten ist.
TLS, WAAP, MFA, vTenant, Maskierung und Audit laufen auf derselben Engine. Es gibt kein separates Zugriffsmodul, kein separates Maskierungsmodul, keine separate Multi-Tenancy-SKU und kein separates Audit-Add-on — alles kommt innerhalb derselben Bandbreitenlizenz.
TR7 läuft auf Ihrer eigenen Hardware, in Ihrem eigenen Rechenzentrum, unter Ihren eigenen Netzwerkkontrollen. Karteninhaberdaten und Audit-Logs passieren keine Drittanbieter-Edge. Die kryptografische Grenze, die Prüfgrenze und die Auditgrenze sind dieselbe Grenze.
TR7 deckt eine bestimmte Fläche von PCI DSS ab — die Anwendungskante. Die folgende Abbildung ist ehrlich darüber, was es abdeckt und was nicht.
vTenant, QoS-Pool-Trennung und vService-basierte Routing-Tabellen liefern NSC-Kontrollen auf der Anwendungsschicht. CDE- und Nicht-CDE-Workloads hinter TR7 können administrativ, operationell und auf Bandbreitenebene isoliert werden. Dies ist eine Komponente der NSC-Haltung der Organisation; eine L3/L4-stateful-Netzwerk-Firewall auf der Netzwerkschicht ergänzt dies in der Regel.
Maskierung sensibler Daten in Antworten setzt die Unlesbarkeit der PAN auf dem Ausgabepfad durch. Konfigurierbare Muster, Truncation, Unterdrückung. Wird an der Edge erfüllt, ohne Änderung des Anwendungscodes.
TLS-Terminierung an der Edge mit aktuellen Versionen und modernen Ciphern. HSTS, OCSP-Stapling, Zertifikatsmanagement. mTLS, wo nötig. Auch die internen Backend-Strecken können von der TR7-Edge aus mit TLS geschützt werden.
TR7 WAAP kombiniert Signaturen, eine 11-Faktor-Scoring-Engine und inhaltsbewusste Regeln. CWE/CAPEC/MITRE-Mapping macht Erkennungen audit-nachvollziehbar. Inline-Blocking- oder Detection-only-Betriebsmodi.
TR7 trägt mit bestimmten Kontrollen zu diesen Anforderungen bei — CSP- und SRI-Header-Injektion über inhaltsbewusste Regeln, serverseitige Antwortprüfung auf unautorisierte Script-Injektion und Bot-Management-Signale für skimmerartiges Verhalten. Für die Art von browserseitiger Script-Verhaltensüberwachung, die diese Anforderungen speziell adressieren, wird in der Regel ein ergänzendes Werkzeug daneben verwendet. Der ehrliche Geltungsbereich steht in der folgenden FAQ.
AAM setzt an der CDE-Kante eine Zugriffsrichtlinie pro Anwendung durch. Identität, Geräte-Posture, Geografie, Tageszeit und MFA-Stärke speisen jede Zugriffsentscheidung. Laterale Bewegung wird durch die Grenze umschlossen, die jede Anwendung ausdrücklich autorisiert.
MFA an der Zugriffskante wird für jedes Konto durchgesetzt — Administratoren, internes Personal, externe Quellen, Service-Konten — das über TR7 zur CDE gelangt. Step-up-Authentifizierung bei Kontextänderung. Native Unterstützung für OIDC, SAML, TOTP, FIDO2.
Zugriffsereignisse, WAAP-Erkennungen, MFA-Ergebnisse und befehlsweise SSH-Sitzungen in einem Audit-Trail. SIEM-Export mit konsistenter Taxonomie. Konfigurierbare Aufbewahrung. Unterstützt die Verpflichtungen von Req 10 zu Inhalt, Integrität und Überprüfung.
vTenant bietet administrative, operationelle und observationelle Isolation zwischen Tenants auf gemeinsam genutzter TR7-Infrastruktur. Ein Tenant im PCI-Geltungsbereich läuft neben Nicht-PCI-Tenants, ohne dass Konfiguration, Audit und Verkehr sich vermischen.
TR7 ist die Anwendungskante-Schicht eines PCI-Programms. Es ersetzt nicht Anti-Malware (Req 5), physische Zugriffskontrollen (Req 9), Netzwerk-Schwachstellen-Scanning (Req 11.3), Penetrationstests (Req 11.4), File-Integrity-Monitoring (Req 11.5) oder Anti-Skimmer-Kontrollen innerhalb des Browsers des Kunden auf dem Niveau, das spezialisierte client-seitige Schutzprodukte bieten. Diese ergänzen TR7 in einem vollständigen PCI-Programm.
Internetexponierte Kanäle, durch die Karteninhaberdaten fließen. TR7 platziert TLS, WAAP, MFA und PAN-Maskierung an der Kante vor der CDE; vTenant trennt kartenverarbeitende Produktions-Workloads von Nicht-CDE-Anwendungen auf derselben Plattform.
Storefront, Checkout-APIs und Back-Office. WAAP vor dem öffentlichen Storefront; MFA beim Back-Office-Zugriff; PAN-Maskierung in Auftragsdetail-Antworten an das Personal; an der Edge injizierte CSP- und SRI-Header zur Unterstützung der Integritätskontrollen der Zahlungsseite.
Strukturen, die zahlreiche Händler bedienen. vTenant gibt jedem Händler oder jeder Händlergruppe seinen eigenen isolierten PCI-Geltungsbereich auf gemeinsam genutzter TR7-Infrastruktur — administrativ, operationell und observationell getrennt. Die Verpflichtungen von Appendix A1 werden erfüllt, ohne ein separates Gerät pro Händler.
Steuern, Bußgelder, Gebühren, bürgernahe Zahlungswege. On-Prem-TLS, WAAP, MFA und Audit halten Karteninhaberdaten und den Audit-Trail innerhalb der nationalen Infrastruktur und unter lokaler Verwaltung.
API-first-Produkte, die Karten- und andere Zahlungsdaten transportieren. WAAP plus API-Schema-Enforcement an der Edge; MFA an der Zugriffskante für Dashboard und Developer-Konsole; PAN-Maskierung in Log- und Dashboard-Antworten; zentrales Audit über die API-Fläche.
Anbieterportale, die neben PHI auch Kartenzahlungen entgegennehmen. TR7 deckt die PCI-Kontrollen an der Anwendungskante ab und läuft dabei auf derselben Plattform, die die breitere Anwendungsfläche schützt — ein Operations-Team, ein Audit-Trail.
Von dieser Lösung referenzierte Fähigkeiten — die technischen Bausteine, die die oben beschriebenen Kontrollen bilden.
Zugriff auf RDP, VNC, SSH, Kubernetes und Legacy-Systeme aus dem Browser — Credential-Vault, Aufzeichnung und Wasserzeichen integriert.
Drei MFA-Methoden, servicebasierte Richtlinie, Vertrauenswürdiges-Gerät-Shortcut — keine MFA-Cloud eines Dritten.
Eine einzige Flow-Engine bestimmt jedes Authentifizierungsergebnis — wer, auf was, nach welchem Faktor, in welchem Kontext.
Bei der Anmeldung gewonnenes Vertrauen wird nicht für immer mitgetragen. Jede Sitzung bleibt bei jedem Schritt unter Bewertung.
Binden Sie jede Identitätsquelle außerhalb von SAML und OIDC an denselben Zugriffs- und Audit-Ablauf.
WAAP-Inspektion, mTLS-Identität und Datenmaskierung laufen weiter, auch wenn Traffic über TLS zu Backends fließt.
IP für den Log-Datenschutz maskieren, die korrekte Client-IP über Proxy-Ketten hinweg rekonstruieren.
Über L3/L4 hinausgehen — HTTP-Kontext in Ihre Flow-Datensätze übertragen.
TLS über dateibasierte Konfiguration hinausbewegen — in ein Per-Service-Sicherheitsprofil, einen Zertifikatslebenszyklus und eine Post-Quantum-Bereitschaftsschicht verwandeln.
Das Client-Zertifikat aus der Verbindungskontrolle herausheben und in ein Identitätsobjekt verwandeln, das Traffic-Entscheidungen steuert.
Jeder Tenant in seiner eigenen Routing-Welt — überlappende IPs, statisches + dynamisches Routing und Gateway-Überwachung aus einem Panel.
Signatur, Score und Kontext in einer einzigen Engine kombinieren — bekannte Angriffe mit voller Kontrolle verwalten.
Sensible Daten auf Plattform-Ebene maskieren, bevor sie den Benutzer oder die Logs erreichen.
Jedes Plattformereignis im erwarteten Format an Ihr SIEM senden — JSON, CEF oder plainText.
DNSSEC pro Domain mit Schlüsselverwahrung auf Ihrer eigenen Infrastruktur — kein Drittanbieter-Signing-Dienst.
Ein einziger TR7. Mehrere Tenants. Ressourcen-, Netzwerk- und Betriebsgrenzen voneinander getrennt.
Machen Sie jede L7-Anfrage messbar, filterbar und berichtsfähig.
Gebrandete, geplante und On-Demand-PDF/XLSX-Berichte in einer einzigen Reporting-Pipeline erstellen.
8 Sicherheits-Header auf ADC-Ebene anwenden — ohne Änderung am Anwendungscode.
Verwandeln Sie rohe WAAP-Protokolle in lesbare Nachweisberichte für Prüfer, Management und Kunden.
Bringen Sie Ihren PCI-Geltungsbereich in eine TR7-Demo. Wir gehen gemeinsam TLS an der Edge, WAAP vor der CDE, MFA für die CDE, vTenant-Isolation, Maskierung und Audit-Trail durch — und sehen, welche Nachweise ein Prüfer genau verlangt.