Einhaltung des PCI-Standards
Für Händler, bei denen Web-basierte Anwendungen maßgeblich zu den Umsätzen beitragen, sind die Vorgaben des Abschnitts 6 des PCI DSS 1.1 nur schwer zu erfüllen
PCI-Compliance: "Fortify SCA" und "Fortify Defender" sollen es dem Handel erleichtern, mit ihren Applikationen die sicherheitsrelevanten Vorgaben des PCI-Standards zu erfüllen
(11.07.07) - Fortify Software hat ihre Applikationssicherheitsprodukte zusammengefasst, um Online-Händlern eine Lösung anzubieten, die die Einhaltung der Vorgaben des "Payment Card Industry Data Security Standard" (PCI DSS) 1.1 erleichtern soll. Zudem ist Fortify Software dem PCI Security Standards Council beigetreten.
Die PCI-Lösung von Fortify basiert auf "Fortify SCA", "Fortify Defender" sowie Fortifys "Professional Services". SCA ist ein Programm zur Quellencodeanalyse, das potenzielle Schwachstellen einer Anwendung auf Codebasis erkennt und entfernt. Defender stellt als "interne Firewall" eine effiziente Schutzschicht für Webanwendungen durch das Monitoring der sicherheitsrelevanten Funktionen sowie der Schnittstellen zur Anwendungsprogrammierung (APIs) innerhalb der Webanwendungen selbst zur Verfügung. Die Professional Services von Fortify bieten eine sofortige Absicherung sensitiver Daten in bereits eingesetzten Anwendungen und gewährleisten zudem die Anwendungssicherheit bei der Entwicklung neuer Applikationen.
Fortify-Produkte unterstützen Online-Händler bei der Erfüllung zahlreicher PCI-Vorgaben, insbesondere bei den in Abschnitt 6 von PCI DSS 1.1 aufgeführten Maßgaben, die den Einzelhändlern die "Entwicklung und Pflege sicherer Systeme und Anwendungen" vorschreiben. Mit der PCI-Lösung von Fortify können Händler die Sicherheit ihrer sensitiven Daten und die Einhaltung des PCI-Standards sicherstellen.
"Für Händler, bei denen Web-basierte Anwendungen maßgeblich zu den Umsätzen beitragen, sind die Vorgaben des Abschnitts 6 des PCI DSS 1.1 nur schwierig zu erfüllen. Denn beim Großteil der heute eingesetzten Applikationen spielten Sicherheitsfragen während der Entwicklung kaum eine Rolle", sagte John M. Jack, Fortifys President und CEO. "Unsere Lösungen geben den Händlern zum einen die Werkzeuge an die Hand, um bestehende Anwendungen abzusichern und PCI-konform zu gestalten."
Für den Einzelhandel ist eine Erfüllung der PCI-Vorgaben und deren kontinuierliche Einhaltung eine wichtige und umfassende Aufgabe. So traten beispielsweise mit Stichtag 30. Juni die Vorgaben von Seiten der Kreditkartenaussteller an alle Firmen mit Kreditkartenabwicklung in Großbritannien in Kraft, bei Kartenzahlungen die Sicherheit der sensitiven Daten explizit zu gewährleisten. Unternehmen, die den Vorgaben nicht entsprechen, müssen zumindest mit erhöhten Verarbeitungsgebühren rechnen oder werden von der Abwicklung von Kreditkartentransaktionen gänzlich ausgeschlossen. Im Falle eines Missbrauchs aufgrund Nichterfüllung der Sicherheitsvorgaben sind Geldstrafen bis zu einer Höhe von 250.000 britischen Pfund vorgesehen
Die Absicherung bestehender Applikationen
Fortify Defender ist eine im Hintergrund eingesetzte Firewall für Webanwendungen, die die Überwachung und das Monitoring aus den Applikationen heraus unterstützt. Dieser einzigartige Ansatz einer "internen Firewall" realisiert die höchstmögliche Applikationssicherheit und erlaubt dedizierte Einblicke in alle Abläufe im Falle von Angriffen von außen.
Absatz 6.6 des PCI Data Security Standards empfiehlt als zurzeit bestmögliche Lösung den Einsatz einer solchen Firewall oder eine professionelle Überprüfung des Codes. Die Anwendungen aller Händler und Diensteanbieter, die Kreditkartendaten speichern, verarbeiten und weiterleiten, müssen die Vorgaben dieser Regularien entsprechen, die ab nächstem Jahr Voraussetzung für eine weitere Kreditkartenabwicklung sein werden. Fortify Defender entspricht den PCI-Standards für Firewalls auf Applikationsebene und ist die zurzeit effizienteste, zuverlässigste und am leichtesten implementierbare Lösung zur Erfüllung dieser Vorgaben. Darüber hinaus erfüllt Fortify Defender auch die Anforderungen des Open Web Application Security Projects (OWASP) sowie des HIPAA-Erlasses (Health Insurance Portability and Accountability Act).
"Die Anforderungen des PCI-Standards schreiben unter anderem auch die Gewährleistung der Sicherheit auf Applikationsebene vor", sagte Diana Kelly, Vice President und Service Director der Burton Group. "Anwendungs- und Software-Securitytools zur Quellcodeanalyse und Firewalls für die Anwendungsebene unterstützen Unternehmen sinnvoll dabei, diese Vorgaben einzuhalten."
Applikationssicherheit bereits während der Entwicklung
Fortify SCA ist eine effiziente, von vielen Unternehmen eingesetzte Lösung zur tiefgreifenden und exakten Analyse von Applikationsquellcode. Der umfassende Funktionsumfang senkt den Aufwand der Programmentwickler bei der Identifizierung und Beseitigung von Sicherheitslücken, da sich mehr Code in weniger Zeit kontrollieren lässt.
Fortify SCA unterstützt eine breite Palette unterschiedlicher Programmiersprachen (ASP.NET, C/C++, C#, Java, JSP, PL/SQL, T-SQL, VB.NET, XML und andere .NET-Sprachen), Frameworks (EJB (BEA, IBM WebSphere, Cold Fusion, Struts, Hibernate, Spring) und Betriebssysteme (Windows, Solaris, Linux, AIX und Mac OS X). Fortify SCA kontrolliert den gesamten Code umfassend auf mögliche Sicherheitslücken, lässt sich aber im täglichen Gebrauch durch Programmentwickler auch zielgerichtet einsetzen, um schnell bestimmte Schwachstellen ausfindig zu machen. Insgesamt lassen sich durch den Einsatz von Fortify SCA so umfassende Sicherheitsüberprüfungen der Software sowie notwendige Korrekturen schneller und effizienter umsetzen.
Lesen Sie auch:
PCI - Regelwerk im Zahlungsverkehr
(Fortify: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>