PCI-Lösung unterstützt Online-Händler bei der Einhaltung der neuen PCI-Vorgaben

Erfüllung der Abschnitte 3 und 6 des PCI Data Security Standards (PCI DSS) zum Stichtag 31. Dezember 2007

(28.11.07) - Fortify Software stellte ihre Lösung für die Payment Card Industry (PCI) vor. Diese kombiniert Produkte und Dienstleistungen von Fortify, um Online-Händler dabei zu unterstützen, die Vorgaben des PCI Data Security Standards (DSS) bis zum Stichtag am 31. Dezember 2007 zu erfüllen.

Hintergrund: Der Großteil der Einzelhändler und auch viele andere Unternehmen, die Kreditkarten-transaktionen durchführen, haben sich nur zögerlich mit der Implementierung wirkungsvoller Maßnahmen zum Schutz der Applikationen beschäftigt. Viele der führenden Händler haben zum Stichtag 30. September die Vorgaben des Standards noch nicht erfüllt. Auch für viele kleinere Händler, für die der Termin 31. Dezember relevant ist, wird die Einhaltung des PCI DSS zum Rennen gegen die Zeit.

"Wir haben viele Fragen von Firmen erhalten, die versuchen, die PCI-Konformität zu erreichen. Dabei war Abschnitt 6, der die Entwicklung und Pflege sicherer Systeme und Anwendungen vorschreibt, einer der Punkte, die die meisten Probleme hinsichtlich der Einhaltung verursachen", sagte Diana Kelley, Vice President und Senior Analyst der Burton Group. "Die Absicherung und der Schutz von Applikationen, die Daten von Kreditkarteninhabern verarbeiten, ist eines der kritischsten Teile im Kreditkarten-Sicherheits-Puzzle. Softwarewerkzeuge zur Quellcodeanalyse und Applikations-Firewalls helfen dabei, das Risiko eines Verlustes von Kreditkartendaten zu reduzieren und damit auch, die Vorgaben des Abschnitts 6 des PCI DSS zu erfüllen."

PCI-Sicherheitsprüfer aus unterschiedlichen haben berichtet, dass die Anwendungssicherheit einer der am häufigsten Gründe für eine Nichteinhaltung des PCI DSS ist. Statistiken renommierter Marktanalyseunternehmen, die Mängel bei der Anwendungssicherheit bestätigen, waren einer der Gründe, warum die Kreditkarten-Unternehmen explizit Vorgaben für die Applikationssicherheit in die Data Security Standards aufgenommen haben und den Einsatz von Software-Werkzeugen zur Quellcodeanalyse sowie von Applikations-Firewalls als mögliche Lösung für die Erfüllung der Vorgaben empfehlen.

"Die Mehrzahl aller Angriffe richtet sich heute auf die Applikationsebene. Daher ist die Aussicht für viele Online-Händler erschreckend, eventuell nicht den PCI-Vorgaben zu entsprechen", sagte Brian Chess, Gründer und Chief Scientist von Fortify Software. "Von unseren Kunden wissen wir, dass Abschnitt 6 der häufigste Grund dafür ist, die PCI-Prüfung nicht zu bestehen. Um die Vorgaben bei einer Codekontrolle, bei intensiven Tests und bei der Schwachstellensuche zu erfüllen, wurde unsere Hilfe nachgefragt. Aber auch, nachdem die PCI-Vorgaben erfüllt sind, sollten die Unter-nehmen immer daran denken, stets Systeme einzusetzen, denen ihre Kunden in punkto Sicherheit vertrauen können."

Die PCI-Lösung von Fortify zielt explizit auf zwei Teile des Data Security Standards ab, die detaillierte Vorgaben zur notwendigen Applikationssicherheit machen: Abschnitt 6, der die Entwicklung und Pflege sicherer Systeme und Anwendungen vorschreibt, und Abschnitt 3, der Vorgaben zum Schutz und der Speicherung von Daten enthält. Fortifys PCI-Lösung besteht aus dem Analyseprogramm "Fortify SCA", das zur Aufdeckung und Beseitigung von Sicherheitslücken im Quellcode von Applikationen zum Einsatz kommt, aus der Applikations-Firewall "Fortify Defender" sowie aus den "Fortify Professional Services", die eine sofortige Absicherung sensitiver Daten in bereits eingesetzten Anwendungen und zudem die Anwendungssicherheit bei der Entwicklung neuer Applikationen gewährleisten.

Absicherung bereits in Einsatz befindlicher Applikationen

Fortify Defender ist eine im Hintergrund eingesetzte Firewall für Webanwendungen, die die Überwachung und das Monitoring aus den Applikationen heraus unterstützt. Dieser einzigartige Ansatz einer "internen Firewall" erlaubt dedizierte Einblicke in alle Abläufe im Fall von Angriffen von außen und erfüllt die PCI-Standards für eine Firewall auf Applikationsebene - auch Absatz 6.6 des PCI Data Security Standards empfiehlt als zurzeit bestmögliche Lösung den Einsatz einer solchen Firewall oder eine professionelle Überprüfung des Codes. Die Anwendungen aller Händler und Diensteanbieter, die Kreditkartendaten speichern, verarbeiten und weiterleiten, müssen die Vorgaben dieser PCI-Regularien entsprechen, sobald diese in Kraft getreten sind. Fortify bietet mit Fortify Defender eine Lösung zur Erfüllung dieser Vorgaben. Darüber hinaus erfüllt Fortify Defender auch beispielsweise die Anforderungen des FISMA (Federal Information Security Management Act) sowie des HIPAA-Erlasses (Health Insurance Portability and Accountability Act).

Absicherung von Applikationen vor ihrem Einsatz

Fortify SCA ist eine Lösung zur Analyse von Quellcode. Die umfangreichen Funktionen von Fortify SCA erlauben es Sicherheitsexperten, in weniger Zeit mehr Code zu überprüfen und dabei Prioritäten auf die maßgeblichen Schwachstellen zu setzen. Für Entwickler sinkt damit der Aufwand bei der Identifikation und Beseitigung von Sicherheitslücken. Fortify SCA unterstützt eine breite Palette unterschiedlicher Programmiersprachen (ASP.NET, C/C++, C#, Java, JSP, PL/SQL, T-SQL, VB.NET, XML, JavaScript, Classic ASP, Cobol, PHP sowie weitere .NET-Sprachen, Frameworks (EJB (BEA, IBM WebSphere), Cold Fusion, Struts, Hibernate, Spring) und Betriebs-systeme (Windows, Solaris, Linux, AIX und Mac OS X). Fortify SCA kontrolliert den gesamten Code umfassend auf mögliche Sicherheitslücken, lässt sich aber im täglichen Gebrauch durch Programmentwickler auch zielgerichtet einsetzen, um schnell bestimmte Schwachstellen ausfindig zu machen. Insgesamt lassen sich durch den Einsatz von Fortify SCA so umfassende Sicher-heitsüberprüfungen der Software sowie notwendige Korrekturen schneller und effizienter umsetzen. (Fortify: ra)