Neue Fassung des PCI Data Security Standard für September angekündigt

PCI Security Standards Council erläutert und verbessert PCI-DSS-Vorgaben

10.04.2008 | Redakteur: Stephan Augsten

Neu aufgelegt: Die Compliance-Regeln von PCI DSS werden bis September 2008 überarbeitet.
Neu aufgelegt: Die Compliance-Regeln von PCI DSS werden bis September 2008 überarbeitet.

Händler müssen sich darauf einstellen, dass der Payment Card Industry Data Security Standard im September 2008 durch eine verbesserte Version ersetzt wird. Außerdem will das PCI Security Standards Council in diesem Mai eine Anleitung für den PCI-Abschnitt 6.6 herausgeben, der sich auf Web Application Security bezieht und mit dem 30. Juni verbindlich wird.

Bislang steht noch nicht fest, ob das Regelwerk für Kreditkartendaten-verarbeitende Unternehmen nur überarbeitet oder komplett neu verfasst wird. Selbst Bob Russo, General Manager des PCI Security Standards Council (PCI SSC), will sich nicht auf eine Version 1.2 oder 2.0 des Payment Card Industry Data Security Standards (PCI DSS) festlegen lassen. Die Versionsnummer sei auch vollkommen unwichtig, „letztlich müssen alle Änderungen addressiert werden.“

Allzu drastisch sollen die Modifikationen laut Russo aber nicht ausfallen: „[Alle Abweichungen] werden sich auf das Feedback beziehen, das wir über die vergangenen eineinhalb Jahre von unseren Mitgliedern bekommen haben.“ Dies betreffe unter anderem Bereiche wie die drahtlose Kommunikation, Applikationssicherheit und Pre-Authorization.

Basierend auf einem Zwei-Jahres-Zyklus soll die nächste PCI-DSS-Version im September dieses Jahres erscheinen. Eine Beta-Version des Standards wird im August den rund 500 Unternehmen präsentiert, die zum PCI SCC gehören. Auch qualifizierte PCI-Gutachter dürfen die 30 bis 45 Tage währende Probephase nutzen, um Kommentare und Änderungswünsche zu äußern.

PCI CSS klärt Fragen zur Sicherheit von Web-Anwendungen

Für den Mai 2008 kündigt Russo ergänzende Anleitungen und Erläuterungen an, um Unklarheiten beim Absatz 6.6 des bisherigen PCI-Regelwerks zu beseitigen. Dieser wird mit dem 30. Juni vom Best Practice zur obligatorischen Maßnahme, sorgte aber durch die Auslegung der Entweder-oder-Formulierung bislang für Verwirrung unter den Händlern.

Der Abschnitt 6.6 fällt unter den Bereich „Entwicklung und Wartung sicherer Systeme und Anwendungen“ und bezieht sich auf die Sicherheit von Web-Applikationen. Diese müssen demnach ab dem 30. Juni vor bekannten Attacken geschützt werden. Als Maßnahmen kommen in Frage:

  • Installation einer Web Application Firewall
  • manuelles Überprüfen des Quellcodes von Applikationen
  • angemessener Einsatz von automatisierten Source Code Analyzer
  • manuelles Beurteilen möglicher Sicherheitslücken in Web Applikationen
  • überlegter Einsatz von Werkzeugen zur Beurteilung von Schwachstellen in Web Applikationen

Quellcode-Analyse oder Application Firewall?

„Mir persönlich würde es am besten gefallen, wenn alle betroffenen Unternehmen einen OWASP-basierten Quellcode-Review vornehmen ließen“, betont Russo. Doch angesichts des kostspieligen und zeitaufwändigen Prozesses einer manuellen Code-Analyse weiß auch er, dass dies nur ein Wunschtraum ist.

Demnach sei die Implementierung einer Application Firewall vermutlich die beste Lösung. „An dieser Stelle besteht aber noch reichlich Aufklärungsbedarf, was genau ein Unternehmen dabei beachten muss“, meint auch Russo. Solche Fragen will das PCI CSS im Mai beantworten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012025 / Compliance und Datenschutz )