PCI DSSやHIPAAなどの規制フレームワーク向けに、アクセス、WAAP、暗号化、監査、レポートのコントロールをひとつのプラットフォーム上で結びつけます。
コンプライアンスは単に書類を準備することではありません。監査人は、技術的統制が稼働している状態 — 実行時の記録、アクセス判断、インシデントの痕跡 — を確認したがる傾向が強まっています。TR7 Complianceソリューションは、規制上の期待をアプリケーションエッジの具体的な統制に結びつける手助けをします。
本ページでは二つの規制焦点を提供します: カード会員データ環境向けのPCI DSS Compliance、および保護対象保健情報を取り扱う環境向けのHIPAA Compliance。両ソリューションは、それぞれのフレームワークの技術的期待に沿って、WAAP、AAM、暗号化、監査、レポートのコントロールを配置します。
コンプライアンスはチェックリストではない — 稼働する統制のチェーンである。
TR7は、規制要件をアプリケーションエッジの適用可能な統制に変換することを支援します: トラフィックポリシー、アクセス強制、暗号化ポスチャ、監査証跡、レポートが同じアーキテクチャ上に集約されます。
カード会員データ環境にはPCI DSS、保護対象保健情報および米国のヘルスケアワークフローにはHIPAAに焦点を当てた技術的統制の可視性。
カード会員データ環境向けのアプリケーションエッジ統制
WAAP、ネットワーク/アプリケーション分離、暗号化、アクセス制御、監査証跡、レポートにより、カード会員データ環境の技術的統制の可視性を強化します。
保護対象保健情報向けの技術的セーフガード
技術的セーフガードのカテゴリ — Access Control、Audit Controls、Integrity、Person/Entity Authentication、Transmission Security — を、TR7のアクセス、WAAP、暗号化、レポートのコントロールに結びつけます。
コンプライアンスの主張は、実行時に強制可能で監査可能な統制の上に置かれるべきです。
統制は、ポリシー文書のテキストとしてだけではなく、プラットフォーム上で読み返せる設定、アクセス判断、セキュリティイベント、監査記録として見えるべきです。
レポートサーフェスは、PCI DSSやHIPAAが実際に問う質問に近い形で準備されるべきです。目標は、ログ行を監査言語に翻訳するために費やされる時間を削減することです。
PCI DSSとHIPAAのソリューションは同じコアコントロール — アクセス、暗号化、WAAP、監査、レポート — を使用します。このベースラインは、ISO 27001、GDPRなど類似する体制に設定で適応させることができます。
カード会員データ環境については、PCI DSSページから開始してください。ePHIを取り扱うシステムまたは米国のヘルスケアエコシステムと連携するシステムについては、HIPAAページをご確認ください。両ページとも、TR7の統制が規制上の期待にどのように結びつくかを説明しています。
本ページは、TR7の技術的統制が一般的な規制フレームワークとどのように関連付けられるかを説明するものであり、法的助言、認証、コンプライアンスの保証ではありません。最終的なスコープと適用性は、展開アーキテクチャ、対象システム、監査人/QSAの評価に依存します。