Suchen

Verwirrende PCI-Auslegung hat ein Ende PCI Security Standards Council präzisiert Absatz 6.6

| Redakteur: Florian Karlstetter

Das PCI Security Standards Council hat die geplante Änderung des Absatz 6.6 konkretisiert, nachdem es im Vorfeld zu einigen Verwirrungen hinsichtlich der Auslegung gekommen ist. Der entsprechende Abschnitt betrifft den Bereich „Entwicklung und Wartung sicherer Systeme und Anwendungen“.

Firmen zum Thema

PCI Security Standards Council setzt der Verwirrung um die Einführung von Code Analyzer und Web Application Firewalls ein Ende.
PCI Security Standards Council setzt der Verwirrung um die Einführung von Code Analyzer und Web Application Firewalls ein Ende.
( Archiv: Vogel Business Media )

In einer Erklärung hat das PCI Security Standards Council (PCI SSC) die Anforderungen an sichere Web Applikationen konkretisiert, die die Organisation Ende Juni 2008 als rechtsverbindlich einführen will. Die Unklarheit bestand bislang darin, dass PCI SSC Händler und angeschlossene Unternehmen dazu aufgefordert hat, künftig Code Analyzer und/oder Web Application Firewalls einzusetzen.

In einer Erklärung hat das Council nun sein Vorhaben konkretisiert: „Die Bedeutung der Abschnitts 6.6 liegt in der möglichst alles abdeckenden Absicherung von Web Applikationen im Internet gegen bekannte Arten von Malicious Code.“

Dies bedeutet, dass Unternehmen, für die PCI/DSS bindend ist, die Wahl haben, entweder entsprechende Code Analyzer einzusetzen oder eine Web Application Firewall zu implementieren. Natürlich wäre eine Einbindung beider Mechanismen wünschenswert, jedoch nicht immer realisierbar, betonen die Council-Vertreter.

Anforderungen an PCI DSS, Abschnitt 6.6

Mit der Konkretisierung des Abschnitts 6.6. dürfte die allgemeine Verwirrung nun ein Ende haben. Die erste Option zur Quellcode-Überprüfung ist nun in vier alternative Bereiche unterteilt, von denen mindestens einer umgesetzt werden sollte:

  • manuelles Überprüfen des Quellcodes von Applikationen
  • angemessener Einsatz von automatisierten Source Code Analyzer
  • manuelles Beurteilen von möglichen Sicherheitslücken in Web Applikationen
  • überlegter Einsatz von Werkzeugen zur Beurteilung von Schwachstellen in Web Applikationen.

Als zweite Option im Abschnitt 6.6 des Regelwerks gilt die Implementierung einer Web Application Firewall zur Durchsetzung von Security Policies sowohl in der Web Applikation selbst als auch am Client-Endpunkt.

„Die Implementierung beider Optionen stellt den vielschichtigsten Abwehransatz dar“, erläutert Bob Russo, General Manager, PCI Security Standards Council. Allerdings ist sich der Experte auch darüber im Klaren, dass dies aus Kostengründen und Komplexität nicht immer in die Tat umzusetzen ist.

Weitere Informationen zu den angeführten Änderungen sind auf der Council-Website im Supporting Documents-Bereich verfügbar.

(ID:2012340)