La couverture PCI DSS d'un Merchant ou d'un Service Provider se concrétise à la périphérie applicative. Le trafic exposé à internet s'y termine. Les décisions d'accès au CDE s'y prennent. Les données de carte y entrent et en sortent. PCI DSS v4.0.1 a densifié cette périphérie : au titre de la Req 8.4.2, le MFA pour le CDE s'applique désormais non plus aux seuls administrateurs mais à chaque compte ; les Network Security Controls de la Req 1 sont définis pour couvrir, au-delà des pare-feu stateful, les proxies application-aware et la software-defined isolation ; les nouveaux contrôles client-side des Req 6.4.3 et 11.6.1 apportent une protection contre le skimming des pages de paiement ; l'observabilité de niveau audit de la Req 10 doit être continue et non annuelle.
Les réponses classiques sont coûteuses. Le kit d'add-ons : un module WAAP d'un fournisseur, un module d'accès d'un autre, un add-on multi-locataire d'un troisième, un masquage de données sensibles d'un quatrième — chacun licencié séparément, chacun avec son panneau, le tout à intégrer par votre équipe. L'edge cloud : migrez les données de carte vers un WAAP tiers — confiez le chemin entre l'utilisateur et le CDE à la plateforme de quelqu'un d'autre ; quand l'auditeur demande « où les données de carte sont-elles inspectées ? », votre réponse est « dans le cloud de quelqu'un d'autre ».
La troisième voie, celle que la plupart des équipes d'opérations veulent vraiment : couvrir les contrôles PCI de la périphérie applicative sur une seule plateforme, sur le réseau déjà à l'intérieur de votre périmètre d'audit. TR7 est fait pour cette voie. TLS, WAAP, MFA pour le CDE, isolation vTenant, masquage des données sensibles et audit ; sur le même TR7. L'auditeur demande des preuves ; un seul panneau d'opérateur les produit.
Chacun compte seul. Tous ensemble, ils décrivent à quoi ressemble une conformité PCI dont la périphérie applicative fonctionne sur une seule plateforme.
Terminaison TLS avec chiffrements modernes à la périphérie TR7, certificats à jour, OCSP stapling, HSTS et option mTLS là où nécessaire. Les données de carte satisfont les attentes cryptographiques de la Req 4.2.1 avant d'atteindre le backend.
Inspecte chaque requête vers une application exposée à internet avant qu'elle n'atteigne le CDE. TR7 WAAP combine une bibliothèque de 10 000+ signatures, un moteur de scoring à 11 facteurs et des règles content-aware ; le mapping CWE/CAPEC/MITRE rend les preuves d'audit et d'incident traçables. La Req 6.4.2 exige une solution devant les applications publiques — TR7 est cette solution.
PCI DSS v4.0 a étendu l'obligation de MFA des seuls administrateurs à chaque compte accédant au CDE. TR7 AAM applique l'authentification multifacteur à la périphérie d'accès avec OIDC, SAML, TOTP, FIDO2 et renforce le niveau lorsque le contexte change. Le même contrôle couvre le personnel interne, les ressources externes et les comptes de service lorsqu'ils atteignent le CDE via TR7.
PCI DSS v4.0 a recadré la notion de « firewall » en Network Security Controls et y inclut explicitement les proxies application-aware et la software-defined isolation. TR7 fournit exactement cela : vTenant pour l'isolation administrative et opérationnelle entre charges CDE et non-CDE, pools QoS qui donnent au trafic CDE sa propre enveloppe de bande passante, et tables de routage par vService qui maintiennent les flux orientés CDE à part. Pour les fournisseurs de services PCI, vTenant satisfait les obligations multi-locataire de l'Appendix A1 sans appareil séparé pour chaque Merchant.
TR7 détecte le PAN, le CVV et d'autres patterns sensibles dans les réponses API et HTML et les masque selon la politique avant qu'ils ne quittent la périphérie applicative. La Req 3.4 exige que le PAN soit illisible partout où il est stocké ou affiché dans des contextes non autorisés — TR7 applique cette frontière sur le chemin de sortie sans changement de code dans l'application.
Événements d'accès, décisions de trafic, détections WAAP, résultats MFA et sessions SSH vers les cibles d'administration partagent la même piste d'audit. Enregistrement SSH au niveau commande ; prêt pour l'investigation sans produit PAM séparé. L'export SIEM se fait avec une taxonomie cohérente à l'échelle de la plateforme — les preuves que l'auditeur demande viennent d'un seul endroit.
Chaque capacité ci-dessous fonctionne sur la même plateforme TR7 qui livre et protège vos services modernes.
Versions TLS à jour, suites de chiffrement modernes, OCSP stapling, gestion automatique des certificats. Option mTLS là où nécessaire. Soutient les attentes de la Req 4.2.1 sur la sécurité des données de carte en transit.
10 000+ signatures et moteur de scoring à 11 facteurs. Catégories OWASP, protections spécifiques aux frameworks, mapping CWE/CAPEC/MITRE pour l'audit et le forensique. Modes blocage inline ou détection seule.
Injectez Content Security Policy, Subresource Integrity, X-Frame-Options, HSTS et d'autres headers de sécurité dans le constructeur de politiques visuel. Les headers sont configurés à la périphérie, pas dans le code de l'application héritée qui ne les a jamais définis.
Inspectez les balises de script non autorisées ou le contenu inattendu dans les réponses HTML et JSON sortant d'un backend compromis. Détecte la compromission côté serveur qui produit une sortie de type skimmer avant qu'elle n'atteigne le navigateur.
Authentification multifacteur pour chaque compte accédant au CDE via TR7. TOTP, FIDO2, push et SMS ; renforcement de niveau lors des changements de contexte tels que nouvel appareil, nouvelle géographie ou ressource sensible.
Le mode Per-Service Authentication d'AAM enveloppe une application CDE héritée avec un SSO OIDC ou SAML depuis votre IdP. Le backend hérité reçoit l'artefact d'identité qu'il attend ; l'utilisateur se connecte par la voie moderne et avec MFA.
Isolation multi-locataire au niveau plateforme. Les locataires partagent TR7 mais sont séparés administrativement, opérationnellement et observationnellement. Les charges CDE peuvent vivre dans leurs propres locataires — une frontière auditable par conception. Soutient les obligations de l'Appendix A1 pour les fournisseurs de services.
Le trafic CDE dans sa propre enveloppe de bande passante ; les flux orientés CDE dans des tables de routage dédiées. Dans la terminologie de PCI DSS v4.0, les Network Security Controls sont explicitement plus larges que les pare-feu stateful — proxies application-aware, ACL et software-defined isolation comptent. TR7 couvre cette surface de contrôle à la couche applicative.
Règles de troncature du PAN, suppression du CVV, masquage de patterns configurable sur les réponses sortantes. Les obligations d'affichage du PAN de la Req 3.4 sont satisfaites à la périphérie de sortie sans modifier le code de l'application.
Un seul panneau d'opérateur et une seule piste d'audit à travers les couches de livraison, sécurité, accès et DDoS. Export SIEM avec taxonomie cohérente. Soutient les obligations de contenu, rétention et revue de la Req 10.
Les sessions SSH atteignant les cibles d'administration CDE backend via TR7 sont enregistrées au niveau commande — chaque commande, chaque réponse. Audit de qualité investigation pour l'accès privilégié qui préoccupe le plus les Req 8 et Req 10.
TLS, WAAP, MFA, vTenant, masquage et audit fonctionnent sur le même moteur. Il n'y a aucun module d'accès séparé, aucun module de masquage séparé, aucune SKU multi-locataire séparée ni add-on d'audit séparé — tout vient dans la même licence de bande passante.
TR7 s'exécute sur votre propre hardware, dans votre propre data center, sous vos propres contrôles réseau. Les données de carte et les journaux d'audit ne passent pas par un edge tiers. La frontière cryptographique, la frontière d'inspection et la frontière d'audit sont une seule et même frontière.
TR7 couvre une surface spécifique de PCI DSS — la périphérie applicative. La carte ci-dessous est honnête sur ce qu'il couvre et ne couvre pas.
vTenant, séparation des pools QoS et tables de routage par vService fournissent des contrôles NSC à la couche applicative. Les charges CDE et non-CDE derrière TR7 peuvent être isolées administrativement, opérationnellement et au niveau bande passante. C'est un composant de la posture NSC de l'organisation ; un network firewall stateful L3/L4 à la couche réseau le complète généralement.
Le masquage des données sensibles dans les réponses applique l'illisibilité du PAN sur le chemin de sortie. Patterns configurables, troncature, suppression. Satisfait à la périphérie sans changement de code de l'application.
Terminaison TLS à la périphérie avec versions à jour et chiffrements modernes. HSTS, OCSP stapling, gestion des certificats. mTLS là où nécessaire. Les segments backend internes peuvent aussi être protégés par TLS depuis la périphérie TR7.
TR7 WAAP combine signatures, moteur de scoring à 11 facteurs et règles content-aware. Le mapping CWE/CAPEC/MITRE rend les détections traçables pour l'audit. Modes d'opération blocage inline ou détection seule.
TR7 contribue à ces exigences avec des contrôles spécifiques — injection de headers CSP et SRI via les règles content-aware, inspection des réponses côté serveur contre l'injection de scripts non autorisés et signaux de bot management pour les comportements de type skimmer. Pour le monitoring du comportement des scripts côté navigateur que ces exigences adressent spécifiquement, un outil complémentaire est généralement utilisé en parallèle. La couverture honnête est dans la FAQ ci-dessous.
AAM applique la politique d'accès par application à la périphérie du CDE. Identité, posture de l'appareil, géographie, heure de la journée et force du MFA alimentent chaque décision d'accès. Le mouvement latéral est entouré de la frontière que chaque application autorise explicitement.
Le MFA est appliqué à la périphérie d'accès pour chaque compte atteignant le CDE via TR7 — administrateurs, personnel interne, ressources externes, comptes de service. Authentification avec renforcement de niveau quand le contexte change. OIDC, SAML, TOTP, FIDO2 natifs.
Événements d'accès, détections WAAP, résultats MFA et sessions SSH au niveau commande dans une seule piste d'audit. Export SIEM avec taxonomie cohérente. Rétention configurable. Soutient les obligations de contenu, intégrité et revue de la Req 10.
vTenant assure l'isolation administrative, opérationnelle et observationnelle entre locataires sur une infrastructure TR7 partagée. Un locataire entrant dans le périmètre PCI fonctionne aux côtés des locataires non-PCI sans mélange de configuration, d'audit et de trafic.
TR7 est la couche de périphérie applicative d'un programme PCI. Il ne remplace pas l'anti-malware (Req 5), les contrôles d'accès physique (Req 9), le scan de vulnérabilités réseau (Req 11.3), les tests d'intrusion (Req 11.4), le monitoring d'intégrité des fichiers (Req 11.5) ni les contrôles anti-skimmer dans le navigateur du client au niveau fourni par des produits de protection client-side dédiés. Ce sont des contrôles qui, dans un programme PCI complet, complètent TR7.
Canaux exposés à internet où circulent les données de carte. TR7 place TLS, WAAP, MFA et masquage du PAN à la périphérie devant le CDE ; vTenant sépare les charges de production traitant les cartes des applications non-CDE sur la même plateforme.
Storefront, API de checkout et back-office. WAAP devant le storefront public ; MFA sur l'accès back-office ; masquage du PAN sur les réponses de détails de commande destinées au personnel ; headers CSP et SRI injectés à la périphérie pour soutenir les contrôles d'intégrité de la page de paiement.
Structure servant de nombreux Merchants. vTenant donne à chaque Merchant ou groupe de Merchants son propre périmètre PCI isolé sur une infrastructure TR7 partagée — séparé administrativement, opérationnellement et observationnellement. Les obligations de l'Appendix A1 sont satisfaites sans appareil séparé pour chaque Merchant.
Parcours de paiement ouverts aux citoyens pour taxes, amendes, redevances. TLS, WAAP, MFA et audit on-prem maintiennent les données de carte et la piste d'audit au sein de l'infrastructure et sous contrôle local.
Produits API-first transportant des données de carte et d'autres données de paiement. WAAP plus API schema enforcement à la périphérie ; MFA à la périphérie d'accès pour le dashboard et la console développeur ; masquage du PAN sur les logs et réponses de dashboard ; audit centralisé sur toute la surface API.
Portails de fournisseurs traitant des transactions par carte aux côtés de PHI. TR7 couvre les contrôles PCI de la périphérie applicative tout en fonctionnant sur la même plateforme qui protège la surface applicative plus large — une seule équipe d'opérateurs, une seule piste d'audit.
Capacités référencées par cette solution — les pièces techniques qui composent les contrôles décrits ci-dessus.
Accès depuis le navigateur à RDP, VNC, SSH, Kubernetes et aux systèmes legacy — coffre-fort d'identifiants, enregistrement et watermark intégrés.
Trois méthodes MFA, politique par service, raccourci appareil de confiance — pas de cloud MFA tiers.
Un seul moteur de flux détermine chaque résultat d'authentification — qui, vers quoi, après quel facteur, dans quel contexte.
La confiance gagnée à la connexion n'est pas portée éternellement. Chaque session reste sous évaluation, à chaque étape.
Reliez toute source d'identité autre que SAML et OIDC au même flux d'accès et d'audit.
L'inspection WAAP, l'identité mTLS et le masquage des données continuent de fonctionner même lorsque le trafic circule vers les backends via TLS.
Masquez l'IP pour la confidentialité des logs, reconstituez la bonne IP client à travers les chaînes proxy.
Dépassez le L3/L4 — portez le contexte HTTP dans vos enregistrements de flux.
Faites évoluer TLS au-delà de la configuration basée sur des fichiers — transformez-le en profil de sécurité par service, en gestion du cycle de vie des certificats et en couche de préparation post-quantique.
Extrayez le certificat client du contrôle de connexion et transformez-le en objet d'identité qui pilote les décisions de trafic.
Chaque tenant dans son propre monde de routage — IPs chevauchantes, routage statique + dynamique et surveillance de passerelle depuis un seul panneau.
Combinez signature, score et contexte dans un seul moteur — gérez les attaques connues en toute confiance.
Masquez les données sensibles au niveau de la plateforme avant qu'elles n'atteignent l'utilisateur ou les logs.
Envoyez chaque événement de plateforme à votre SIEM dans le format qu'il attend — JSON, CEF ou plainText.
DNSSEC par domaine avec custody des clés sur votre propre infrastructure — pas de service de signature tiers.
Un seul TR7. Plusieurs tenants. Frontières de ressources, de réseau et d'opérations séparées les unes des autres.
Rendez chaque requête L7 mesurable, filtrable et rapportable.
Produisez des rapports PDF/XLSX branded, planifiés et à la demande dans un pipeline de reporting unifié.
Appliquez 8 en-têtes de sécurité au niveau de la couche ADC sans toucher au code applicatif.
Transformez les logs WAAP bruts en rapports de preuves lisibles pour les auditeurs, la direction et les clients.
Apportez votre périmètre PCI à une démo TR7. Parcourons ensemble TLS à la périphérie, WAAP devant le CDE, MFA pour le CDE, isolation vTenant, masquage et piste d'audit — voyons exactement quelles preuves un auditeur demande.