- Anzeigen -

Sie sind hier: Home » Produkte » sonstige

Einhaltung des PCI-Standards


Für Händler, bei denen Web-basierte Anwendungen maßgeblich zu den Umsätzen beitragen, sind die Vorgaben des Abschnitts 6 des PCI DSS 1.1 nur schwer zu erfüllen
PCI-Compliance: "Fortify SCA" und "Fortify Defender" sollen es dem Handel erleichtern, mit ihren Applikationen die sicherheitsrelevanten Vorgaben des PCI-Standards zu erfüllen


(11.07.07) - Fortify Software hat ihre Applikationssicherheitsprodukte zusammengefasst, um Online-Händlern eine Lösung anzubieten, die die Einhaltung der Vorgaben des "Payment Card Industry Data Security Standard" (PCI DSS) 1.1 erleichtern soll. Zudem ist Fortify Software dem PCI Security Standards Council beigetreten.

Die PCI-Lösung von Fortify basiert auf "Fortify SCA", "Fortify Defender" sowie Fortifys "Professional Services". SCA ist ein Programm zur Quellencodeanalyse, das potenzielle Schwachstellen einer Anwendung auf Codebasis erkennt und entfernt. Defender stellt als "interne Firewall" eine effiziente Schutzschicht für Webanwendungen durch das Monitoring der sicherheitsrelevanten Funktionen sowie der Schnittstellen zur Anwendungsprogrammierung (APIs) innerhalb der Webanwendungen selbst zur Verfügung. Die Professional Services von Fortify bieten eine sofortige Absicherung sensitiver Daten in bereits eingesetzten Anwendungen und gewährleisten zudem die Anwendungssicherheit bei der Entwicklung neuer Applikationen.

Fortify-Produkte unterstützen Online-Händler bei der Erfüllung zahlreicher PCI-Vorgaben, insbesondere bei den in Abschnitt 6 von PCI DSS 1.1 aufgeführten Maßgaben, die den Einzelhändlern die "Entwicklung und Pflege sicherer Systeme und Anwendungen" vorschreiben. Mit der PCI-Lösung von Fortify können Händler die Sicherheit ihrer sensitiven Daten und die Einhaltung des PCI-Standards sicherstellen.

"Für Händler, bei denen Web-basierte Anwendungen maßgeblich zu den Umsätzen beitragen, sind die Vorgaben des Abschnitts 6 des PCI DSS 1.1 nur schwierig zu erfüllen. Denn beim Großteil der heute eingesetzten Applikationen spielten Sicherheitsfragen während der Entwicklung kaum eine Rolle", sagte John M. Jack, Fortifys President und CEO. "Unsere Lösungen geben den Händlern zum einen die Werkzeuge an die Hand, um bestehende Anwendungen abzusichern und PCI-konform zu gestalten."

Für den Einzelhandel ist eine Erfüllung der PCI-Vorgaben und deren kontinuierliche Einhaltung eine wichtige und umfassende Aufgabe. So traten beispielsweise mit Stichtag 30. Juni die Vorgaben von Seiten der Kreditkartenaussteller an alle Firmen mit Kreditkartenabwicklung in Großbritannien in Kraft, bei Kartenzahlungen die Sicherheit der sensitiven Daten explizit zu gewährleisten. Unternehmen, die den Vorgaben nicht entsprechen, müssen zumindest mit erhöhten Verarbeitungsgebühren rechnen oder werden von der Abwicklung von Kreditkartentransaktionen gänzlich ausgeschlossen. Im Falle eines Missbrauchs aufgrund Nichterfüllung der Sicherheitsvorgaben sind Geldstrafen bis zu einer Höhe von 250.000 britischen Pfund vorgesehen

Die Absicherung bestehender Applikationen

Fortify Defender ist eine im Hintergrund eingesetzte Firewall für Webanwendungen, die die Überwachung und das Monitoring aus den Applikationen heraus unterstützt. Dieser einzigartige Ansatz einer "internen Firewall" realisiert die höchstmögliche Applikationssicherheit und erlaubt dedizierte Einblicke in alle Abläufe im Falle von Angriffen von außen.

Absatz 6.6 des PCI Data Security Standards empfiehlt als zurzeit bestmögliche Lösung den Einsatz einer solchen Firewall oder eine professionelle Überprüfung des Codes. Die Anwendungen aller Händler und Diensteanbieter, die Kreditkartendaten speichern, verarbeiten und weiterleiten, müssen die Vorgaben dieser Regularien entsprechen, die ab nächstem Jahr Voraussetzung für eine weitere Kreditkartenabwicklung sein werden. Fortify Defender entspricht den PCI-Standards für Firewalls auf Applikationsebene und ist die zurzeit effizienteste, zuverlässigste und am leichtesten implementierbare Lösung zur Erfüllung dieser Vorgaben. Darüber hinaus erfüllt Fortify Defender auch die Anforderungen des Open Web Application Security Projects (OWASP) sowie des HIPAA-Erlasses (Health Insurance Portability and Accountability Act).

"Die Anforderungen des PCI-Standards schreiben unter anderem auch die Gewährleistung der Sicherheit auf Applikationsebene vor", sagte Diana Kelly, Vice President und Service Director der Burton Group. "Anwendungs- und Software-Securitytools zur Quellcodeanalyse und Firewalls für die Anwendungsebene unterstützen Unternehmen sinnvoll dabei, diese Vorgaben einzuhalten."

Applikationssicherheit bereits während der Entwicklung

Fortify SCA ist eine effiziente, von vielen Unternehmen eingesetzte Lösung zur tiefgreifenden und exakten Analyse von Applikationsquellcode. Der umfassende Funktionsumfang senkt den Aufwand der Programmentwickler bei der Identifizierung und Beseitigung von Sicherheitslücken, da sich mehr Code in weniger Zeit kontrollieren lässt.

Fortify SCA unterstützt eine breite Palette unterschiedlicher Programmiersprachen (ASP.NET, C/C++, C#, Java, JSP, PL/SQL, T-SQL, VB.NET, XML und andere .NET-Sprachen), Frameworks (EJB (BEA, IBM WebSphere, Cold Fusion, Struts, Hibernate, Spring) und Betriebssysteme (Windows, Solaris, Linux, AIX und Mac OS X). Fortify SCA kontrolliert den gesamten Code umfassend auf mögliche Sicherheitslücken, lässt sich aber im täglichen Gebrauch durch Programmentwickler auch zielgerichtet einsetzen, um schnell bestimmte Schwachstellen ausfindig zu machen. Insgesamt lassen sich durch den Einsatz von Fortify SCA so umfassende Sicherheitsüberprüfungen der Software sowie notwendige Korrekturen schneller und effizienter umsetzen.

Lesen Sie auch:
PCI - Regelwerk im Zahlungsverkehr

(Fortify: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: sonstige

  • Konformität mit musterbasierten Regeln

    Das neue Release 10.4.2 von "Parasoft C/C++test", der einheitlichen C/C++-Entwicklungstest-Lösung für Embedded-Anwendungen, bietet Support für Codierstandards MISRA, CERT C/C++, ISO 26262, DO-178B/C, IEC 61508, IEC 62304, AUTOSAR und nun auch AUTOSAR C++. Damit ist es die derzeit branchenweit umfassendste Entwicklungstest-Lösung zum Testen von sicherheitskritischem C/C++Code. Sie verringert den manuellen Arbeitsaufwand für die Konformität mit Codierstandards erheblich, indem Unternehmen beim Einsatz von Parasoft C/C++test nur ein einziges Tool für Best Practices bei Entwicklungstests, Security- und Safety-Compliance sowie Dokumentation und Reporting in Sachen Konformität benötigen.

  • Entscheidungsfindung im Talent Management

    CornerstoneOnDemand, Anbieterin von Cloud-basierter Talent-Management-Software-Lösungen, gibt die Entwicklung neuer Dashboards für "CornerstoneInsights" bekannt, der Predictive Analytics-Lösung des Unternehmens. CornerstoneInsights wendet Machine-Learning-Technologie gezielt auf die umfangreichen Datensätze von Cornerstone an und ermöglicht dadurch datengestützte Empfehlungen zu spezifischen Herausforderungen.

  • Weltweite Versicherung für Internetstreitigkeiten

    So weitreichend der Nutzen des Internets ist, so groß sind auch die Gefahren. Verbraucher müssen sich daher in Acht nehmen: Streitigkeiten um online abgeschlossene Verträge, der Vorwurf der Urheberrechtsverletzung oder rufschädigende Inhalte über die eigene Person im Netz sind keine Seltenheit. Roland Rechtsschutz bietet im Rahmen des modularen Baustein-Systems eine Reihe von Leistungen an, mit denen sich User gegen die Risiken im WWW wappnen können. Grundsätzlich leistet Roland für alle Privat- und Firmenkunden Versicherungsschutz für weltweite Internetstreitigkeiten. Je nach Absicherungsvariante sind dann Auseinandersetzungen bis zu einer Höhe von 200.000 Euro oder 400.000 Euro abgedeckt.

  • WLAN für die Ferienwohnung

    Freies WLAN in ihrem Hotel wünschen sich laut einer Untersuchung des Hotelportals HRS über 60 Prozent aller Reisenden in Deutschland. Und für Ferienwohnungen dürfte dies kaum anders aussehen. Diesem Wunsch entgegen steht allerdings die so genannte Störerhaftung, die auch vor den Eigentümern von Ferienwohnungen nicht halt macht. Diese haften, wenn ein Feriengast zum Beispiel durch illegales Streamen von Filmen oder Musik bestehendes Recht verletzt. Hier setzen TP-Link und Socialwave mit einer gemeinsamen Lösung an: Sie bieten ein Paket für ein professionelles Hotspot-System an

  • Umsetzung von Compliance-Maßnahmen

    Mit dem aktuellen "Innovation Pack 5" bringt die IMC AG ein Update für gleich drei ihrer Produkte auf den Markt: das "Learning Management System" - "Learning Suite", die "E-Learning-Autorensoftware" - "Content Studio" und das elektronische "Performance-Support-System" - "Process Guide". Ganz im Sinne ihrer Kunden fokussiert sich IMC in diesem Release auf zwei große Themen, die die Unternehmenswelt zurzeit stark bewegen: Compliance und On-the-Job-Training. Das Release enthält aber auch viele andere Features, die ein komfortables E-Learning in Ihrem Unternehmen unterstützen. Unternehmen, die Sicherstellung von Compliance-Maßnahmen umsetzen, wissen, wie wichtig gesetzeskonformes Handeln in Compliance-kritischen Situationen ist. Zum Aufgabengebiet gehören die Zuweisung der relevanten Inhalte, die Differenzierung der unterschiedlichen Zielgruppen, die Kontrolle und Generierung von Reports für diverse Ziele und vieles mehr. All diese Aufgaben nehmen sehr viel Zeit in Anspruch.

  • CO2-Reports für jeden Kunden

    Transportmanagementsysteme unterstützen die operative Planung und die Durchführung von Transporten. Die langfristige Planung hingegen wird von vielen Unternehmen noch mit Bordmitteln durchgeführt. Budgetüberschreitungen von mehreren hundert Prozent zwischen Plan- und IST-Kosten sowie Rechenzeiten von mehreren Stunden sind deshalb bis dato eher die Regel als die Ausnahme. Die Unternehmensberatung BearingPoint hat mit LogCost eine standardisierte neue Lösung entwickelt, die sowohl die Planung und Vorhersage von Transportkosten sowie CO2-Emissionen ermöglicht, als auch die Profitabilität von Kunden bewerten kann.

  • Erfüllung rechtlicher Organisationspflichten

    In erfolgreichen Organisationen treffen die richtigen Personen die zur Erreichung der Unternehmensstrategie notwendigen und wichtigsten Entscheidungen. Dieses motiviert die Mitarbeiter (Führung durch Vertrauen und Empowerment) und bestimmt gleichzeitig wer die Verantwortung trägt.

  • Deutsche haben Angst vor Google

    Nicht nur die Kanzlerin, alle Bundesbürger werden seit Jahren systematisch abgehört. Jeder Suchbegriff, jeder Webseitenbesuch, jedes Produkt aus einem Online-Store werden durch Google gespeichert und ausgewertet. Über dieses Szenario machen sich die Bundesbürger Sorgen: 83 Prozent der Internetnutzer misstrauen Google. Das ergab eine Studie unter 2.600 Menschen mit Internetanschluss, durchgeführt im Auftrag der Schweizer Hulbee AG. Mit Swisscows bietet das IT-Unternehmen eine völlig anonyme und damit sichere Internet-Suchmaschine mit Servern ausschließlich in der Schweiz. "Google stiehlt systematisch Daten, das ist das Geschäftsmodell des Unternehmens", sagt Andreas Wiebe, der Swisscows online gebracht hat. 86 Prozent der befragten Studienteilnehmer machen sich daher zurecht Sorgen um die Daten und Informationen, die Google über sie sammelt.

  • Elektronische Zollabwicklung

    BEO hat ihr Angebot zur elektronischen Zollabwicklung um ein Modul erweitert. Mit dem neuen "ATLAS-Zolllager-Normalverfahren" können Anwender Waren aus Drittländern in ein Zolllager überführen und so von deutlichen Kostenvorteilen bei der Importabwicklung profitieren. Die Lösung wurde von der Bundesfinanzdirektion für alle gängigen Zolllagertypen zertifiziert und lässt sich in die IT-Umgebung der übrigen ATLAS-Verfahren integrieren. Die Nutzung eines Zolllagers bietet zahlreiche Vorteile: Solange Waren dort bevorratet werden, müssen sie nicht verzollt oder versteuert werden. Erst mit der Einführung in den freien Warenverkehr fallen Kosten wie Zölle oder Einfuhrumsatzsteuern (EUSt) an. Im Falle von Transitgütern, die in Deutschland nur zwischengelagert werden, entfällt die Abgabenlast durch die Nutzung eines Zolllagers ganz. Viele Firmen wickeln das Zolllagerverfahren derzeit noch im Papierformat ab.

  • Missstände in Unternehmen aktiv melden

    Die whistleblow gmbh stellte die Meldeplattform "whistle-blow.org" für die Bereiche Korruptions- und Betrugsprävention vor. Mit whistle-blow.org bietet das Softwarehaus ein Hinweisgebersystem, das es wahlweise Mitarbeitern, Kunden und anderen Personen erlaubt, unter Wahrung Ihrer Identität Hinweise abzugeben und Missstände in Unternehmen aktiv zu melden. Maximale Sicherheitsstandards und modernste Verschlüsselungstechnologien geben dem Hinweisgeber absolute Sicherheit und Anonymität.