Merchant(加盟店)またはService Provider(サービスプロバイダー)のPCI DSSの範囲は、アプリケーションエッジで真実の瞬間を迎えます。インターネットに露出したトラフィックはここで終端します。CDEへのアクセスの判断はここで行われます。決済カードデータはここから入り、出ます。PCI DSS v4.0.1はこのエッジを強化しました:Req 8.4.2の下でCDEへのMFAは管理者だけでなくすべてのアカウントに適用されるようになりました;Req 1の下のNetwork Security Controlsは、stateful firewallを超えてアプリケーション認識型プロキシとsoftware-defined isolationを含むよう定義されました;Req 6.4.3と11.6.1の下の新しいclient-sideコントロールが決済ページのskimming攻撃に対する保護をもたらします;Req 10の下の監査レベルの可観測性は年次ではなく継続的でなければなりません。
クラシックな答えは高価です。アドオンキット:あるベンダーからのWAAPモジュール、別のベンダーからのアクセスモジュール、3つ目からのマルチテナンシーアドオン、4つ目からの機密データマスキング — それぞれ別ライセンス、それぞれ別パネル、すべてをお客様のチームが統合します。クラウドエッジ:決済カードデータを第三者のWAAPに移動 — ユーザーとCDEの間の経路を他社のプラットフォームに委ね;監査人が「決済カードデータはどこで検査されているのか?」と尋ねたとき、お客様の答えは「他社のクラウドで」になります。
第三の道、それはほとんどの運用チームが本当に望む道です:アプリケーションエッジのPCIコントロールを、すでに監査境界内にあるネットワーク上で、単一プラットフォームでカバーすること。TR7はこの道のために作られています。TLS、WAAP、CDEへのMFA、vTenant分離、機密データマスキング、監査;同じTR7上で。監査人は証拠を求めます;単一のオペレーターパネルがそれらを生成します。
それぞれ単独でも重要です。すべてを合わせると、アプリケーションエッジが単一プラットフォームで動作するPCIコンプライアンスがどう見えるかを描き出します。
TR7のedgeでモダンな暗号によるTLS終端、最新の証明書、OCSP stapling、HSTS、必要な場所でのmTLSオプション。決済カードデータはbackendに到達する前にReq 4.2.1の暗号化期待を満たします。
インターネットに露出したアプリケーションへのすべてのリクエストを、CDEに到達する前に検査します。TR7 WAAPは、10,000+のシグネチャライブラリ、11ファクターのスコアリングエンジン、コンテンツ認識ルールを組み合わせます;CWE/CAPEC/MITREマッピングが監査とインシデントの証拠をトレース可能にします。Req 6.4.2は公開アプリケーションの前にソリューションを求めます — TR7がそのソリューションです。
PCI DSS v4.0は、MFAの義務を管理者だけからCDEにアクセスするすべてのアカウントへ拡張しました。TR7 AAMが多要素認証をアクセスのedgeでOIDC、SAML、TOTP、FIDO2で適用し、コンテキストが変化するにつれてstep-upします。同じコントロールが、内部スタッフ、外部リソース、サービスアカウントがTR7経由でCDEに来る際にカバーします。
PCI DSS v4.0は「firewall」の概念をNetwork Security Controlsとして再構成し、アプリケーション認識型プロキシとsoftware-defined isolationを明示的に含めました。TR7はまさにそれを提供します:CDEと非CDEワークロードの間の管理的・運用的分離のためのvTenant、CDEトラフィックに独自の帯域幅エンベロープを与えるQoSプール、CDE向けのフローを別に保つvServiceベースのrouteテーブル。PCIサービスプロバイダーのために、vTenantは各加盟店ごとに別個のデバイスを必要とせずにAppendix A1のマルチテナント義務を満たします。
TR7は、APIおよびHTML応答内のPAN、CVV、その他の機密パターンを検出し、アプリケーションエッジから出る前にポリシーに従ってマスクします。Req 3.4は、PANが保存または無許可のコンテキストで表示されるあらゆる場所で読み取り不可能であることを求めます — TR7はこの境界を、アプリケーションコードを変更せずに出口経路で適用します。
アクセスイベント、トラフィック判断、WAAP検出、MFA結果、管理ターゲットへのSSHセッションが同じ監査記録を共有します。SSHコマンドレベル記録;別途PAM製品なしで調査対応可能。SIEMエクスポートはプラットフォーム全体で一貫したタクソノミーで行われます — 監査人が求める証拠は単一の場所から得られます。
以下の各機能は、お客様のモダンなサービスを配信し保護するのと同じTR7プラットフォーム上で動作します。
最新のTLSバージョン、モダンな暗号スイート、OCSP stapling、自動証明書管理。必要な場所でのmTLSオプション。決済カードデータの伝送中のセキュリティに関するReq 4.2.1の期待をサポートします。
10,000+のシグネチャと11ファクターのスコアリングエンジン。OWASPカテゴリ、フレームワーク固有の保護、監査とフォレンジックプロセスのためのCWE/CAPEC/MITREマッピング。インライン block または検出のみモード。
Content Security Policy、Subresource Integrity、X-Frame-Options、HSTS、その他のセキュリティヘッダーを視覚的なポリシービルダーで注入します。ヘッダーは、それらを一度も設定していないレガシーアプリケーションコードではなく、edgeで設定されます。
侵害されたbackendから出るHTMLおよびJSON応答内の無許可scriptタグや予期しないコンテンツを検査します。ブラウザに到達する前に、skimmerのような出力を生成するサーバーサイドの侵害を検出します。
TR7経由でCDEにアクセスするすべてのアカウントへ多要素認証。TOTP、FIDO2、push、SMS;新しいデバイス、新しい地理、機密リソースのようなコンテキスト変化でのstep-up。
AAM Service-Based Authenticationモードが、レガシーのCDEアプリケーションをお客様のIdPからのOIDCまたはSAML SSOでラップします。レガシーbackendは期待するアイデンティティ部分を受け取ります;ユーザーはモダンな方法かつMFAでログインします。
プラットフォームレベルのマルチテナント分離。テナントはTR7を共有しますが、管理的、運用的、観測的に分離されます。CDEワークロードは独自のテナントで存在できます — 設計上監査可能な境界。サービスプロバイダーのためにAppendix A1の義務をサポートします。
CDEトラフィックは独自の帯域幅エンベロープに;CDE向けのフローは専用のrouteテーブルに。PCI DSS v4.0の用語でNetwork Security Controlsは明示的にstateful firewallより広く — アプリケーション認識型プロキシ、ACL、software-defined isolationを含みます。TR7はこのコントロール面をアプリケーション層でカバーします。
PAN truncationルール、CVV抑制、送信される応答内の設定可能なパターンマスキング。Req 3.4のPAN表示義務が、アプリケーションコードを変更せずに出口エッジで満たされます。
配信、セキュリティ、アクセス、DDoSの層にわたる単一のオペレーターパネルと単一の監査記録。一貫したタクソノミーでのSIEMエクスポート。Req 10のコンテンツ、保持、レビューの義務をサポートします。
TR7経由でbackendのCDE管理ターゲットに到達するSSHセッションはコマンドレベルで記録されます — すべてのコマンド、すべての応答。Req 8とReq 10が最も重視する特権アクセスのための調査品質の監査。
TLS、WAAP、MFA、vTenant、マスキング、監査が同じエンジン上で動作します。別途アクセスモジュール、別途マスキングモジュール、別途マルチテナンシーSKU、別途監査アドオンはありません — すべてが同じ帯域幅ライセンスの中で提供されます。
TR7はお客様自身のハードウェア上で、お客様のデータセンター内で、お客様のネットワーク制御下で動作します。決済カードデータと監査ログは第三者のedgeを通りません。暗号学的境界、検査境界、監査境界は同じ境界です。
TR7はPCI DSSの特定の面 — アプリケーションエッジ — をカバーします。以下のマップは、何をカバーし何をカバーしないかについて正直です。
vTenant、QoSプール分離、vServiceベースのrouteテーブルが、アプリケーション層でNSCコントロールを提供します。TR7の背後のCDEと非CDEワークロードは、管理的、運用的、帯域幅レベルで分離できます。これは組織のNSCスタンスの一構成要素です;ネットワーク層のL3/L4 stateful network firewallが一般的にそれを補完します。
応答内の機密データマスキングが、PANの出口経路での読み取り不可能性を適用します。設定可能なパターン、truncation、抑制。アプリケーションコードを変更せずにedgeで満たされます。
edgeで最新バージョンとモダンな暗号によるTLS終端。HSTS、OCSP stapling、証明書管理。必要な場所でのmTLS。内部backend区間もTR7のedgeからTLSで保護できます。
TR7 WAAPはシグネチャ、11ファクターのスコアリングエンジン、コンテンツ認識ルールを組み合わせます。CWE/CAPEC/MITREマッピングが検出を監査トレース可能にします。インライン block または検出のみの運用モード。
TR7はこれらの要件に特定のコントロールで貢献します — コンテンツ認識ルール経由のCSPとSRIヘッダー注入、無許可スクリプト注入のためのサーバーサイド応答検査、skimmerのような振る舞いのためのbot managementシグナル。これらの要件が特に対象とするブラウザ側スクリプトの振る舞い監視のためには、補完的なツールが一般的に並んで使用されます。正直な範囲は以下のFAQにあります。
AAMはCDEエッジでアプリケーション単位のアクセスポリシーを適用します。アイデンティティ、デバイスposture、地理、時間帯、MFA強度がすべてのアクセス判断を供給します。横方向の移動は、各アプリケーションが明示的に認可する境界に囲まれます。
TR7経由でCDEに到達するすべてのアカウント — 管理者、内部スタッフ、外部リソース、サービスアカウント — へ、アクセスのedgeでMFAが適用されます。コンテキストが変化したときのstep-up認証。ネイティブのOIDC、SAML、TOTP、FIDO2。
アクセスイベント、WAAP検出、MFA結果、コマンドレベルSSHセッションが単一の監査記録に。一貫したタクソノミーでのSIEMエクスポート。設定可能な保持。Req 10のコンテンツ、完全性、レビューの義務をサポートします。
vTenantは、共有されたTR7インフラ上でテナント間に管理的、運用的、観測的な分離を提供します。PCIの範囲に入るテナントは、PCI外のテナントと設定、監査、トラフィックが混ざることなく並んで動作します。
TR7はPCIプログラムのアプリケーションエッジ層です。anti-malware(Req 5)、物理的アクセス制御(Req 9)、ネットワーク脆弱性スキャン(Req 11.3)、侵入テスト(Req 11.4)、ファイル完全性監視(Req 11.5)、または専用のclient-side保護製品が提供するレベルの顧客のブラウザ内のanti-skimmerコントロールに取って代わるものではありません。これらはPCIプログラム全体においてTR7を補完するコントロールです。
決済カードデータが流れるインターネットに露出したチャネル。TR7はTLS、WAAP、MFA、PANマスキングをCDEの前のエッジに配置します;vTenantが同じプラットフォーム上でカード処理の本番ワークロードを非CDEアプリケーションから分離します。
ストアフロント、checkout API、back-office。公開ストアフロントの前のWAAP;back-officeアクセスでのMFA;スタッフへの注文詳細応答内のPANマスキング;決済ページの完全性コントロールをサポートするためにedgeで注入されるCSPとSRIヘッダー。
多数の加盟店にサービスを提供する構造。vTenantが共有されたTR7インフラ上で各加盟店または加盟店グループに分離された独自のPCI範囲を与えます — 管理的、運用的、観測的に分離。Appendix A1の義務が各加盟店に別個のデバイスを必要とせずに満たされます。
税金、罰金、手数料、市民向けの決済ジャーニー。オンプレミスのTLS、WAAP、MFA、監査が、決済カードデータと監査証跡を主権インフラ内かつローカル管理下に保ちます。
決済カードやその他の決済データを運ぶAPIファーストの製品。edgeでのWAAP + APIスキーマ適用;ダッシュボードと開発者コンソールのためのアクセスのedgeでのMFA;ログとダッシュボード応答内のPANマスキング;API面全体にわたる集中監査。
PHIと並んで決済カード取引を受け付けるプロバイダーポータル。TR7はアプリケーションエッジのPCIコントロールをカバーしながら、より広いアプリケーション面を保護するのと同じプラットフォーム上で動作します — 単一のオペレーターチーム、単一の監査記録。
このソリューションが参照する機能 — 上記で説明した制御を構成する技術的要素。
RDP、VNC、SSH、Kubernetes、レガシーシステムへブラウザからアクセス — クレデンシャルボールト、記録、ウォーターマークが標準装備。
3つのMFA方式、サービス単位ポリシー、信頼済みデバイスのショートカット — サードパーティのMFAクラウドなし。
単一のフローエンジンがすべての認証アウトカムを決定します — 誰が、何に、どの要素の後に、どのコンテキストで。
サインイン時に得たトラストは永遠には運ばれません。すべてのセッションは、すべてのステップで評価下にあり続けます。
SAML と OIDC 以外のあらゆるアイデンティティソースを同じアクセスおよび監査フローに接続します。
WAAP検査、mTLSアイデンティティ、データマスキングは、トラフィックがTLS経由でバックエンドに流れても機能し続けます。
ログプライバシーのためにIPをマスク、プロキシチェーン全体で正確なクライアントIPを再構築。
L3/L4を超えて — HTTPコンテキストをフローレコードへ運びます。
TLSをファイルベースの設定から脱却させ、サービスごとのセキュリティプロファイル、証明書ライフサイクル、post-quantum対応層へと変えます。
クライアント証明書を接続制御から引き上げ、トラフィック決定を動かすアイデンティティオブジェクトへと変えます。
すべてのテナントが独自のルーティングの世界に — 重複するIP、静的 + 動的ルーティング、ゲートウェイ監視を1つのパネルから。
シグネチャ、スコア、コンテキストを単一エンジンで組み合わせる — 既知の攻撃を確信を持って管理。
機密データがユーザーまたはログに届く前に、プラットフォームレベルでマスクします。
すべてのプラットフォームイベントをSIEMが期待する形式で送信 — JSON、CEF、またはplainText。
ドメインごとのDNSSEC、鍵管理はご自身のインフラ上 — サードパーティ署名サービスなし。
単一TR7。複数テナント。リソース、ネットワーク、運用の境界が互いに分離。
すべてのL7リクエストを測定可能、フィルタ可能、レポート可能に。
ブランド入り、スケジュール、オンデマンドのPDF/XLSXレポートを単一レポーティングパイプラインで生成します。
アプリケーションコードに触れることなく、ADC層で8つのセキュリティヘッダーを適用。
生のWAAPログを監査員、経営陣、顧客向けの読みやすいエビデンスレポートに変換します。
お客様のPCIの範囲をTR7デモにお持ちください。edgeでのTLS、CDEの前のWAAP、CDEへのMFA、vTenant分離、マスキング、監査記録を一緒にご案内します — 監査人が正確にどの証拠を求めるかをお見せします。