Application Security for Every Scale
my.defence
Produkte hyperguard Einhaltung von PCI DSSPCI DSS ist der Standard des PCI Security Standards Council, einer Organisation, die durch die führenden Kreditkartenunternehmen gegründet wurde. Ziel des Standards ist, den sicheren Umgang Kreditkartendaten zu gewährleisten. Die aktuelle Version 1.2 des Standards ist ab Oktober 2008 gültig.
Sowohl Händler als auch (IT-) Dienstleister, die Kreditkartendaten verarbeiten und/oder speichern sind angehalten sich gemäß PCI DSS zertifizieren zu lassen. Eine fehlende oder nicht erreichte Zertifizierung kann, je nach Kreditkartenunternehmen, zu höheren Transaktionskosten für Kreditkartenzahlungen und/oder Schadenersatzansprüchen bei Verlust von Kreditkartendaten führen.
Seit Mitte 2008 ist die Absicherung von öffentlich zugänglichen Webanwendungen gemäß Sektion 6.6 des PCI DSS Standards Voraussetzung für eine Zertifizierung. Zusätzlich ist seit Version 1.2 des Standards die Durchführung von regelmäßigen Sourcecodereviews gemäß Sektion 6.3.7 sowohl für interne Applikationen als auch für Webapplikationen verbindlich geworden. Die Einhaltung dieser PCI DSS Anforderungen ist entweder mit großen manuellen Aufwand und somit hohen Personalkosten verbunden oder lässt sich alternativ durch Automatisierung und Teilautomatisierung mit Hilfe entsprechender Tools erreichen. Gemäß dem aktuellen Informationsnachtrag: Voraussetzung 6.6 kann eine solche Funktionalität "... in Software oder Hardware implementiert, in einem Appliance-Gerät oder in einem typischen Server mit einem gängigen Betriebssystem ausgeführt werden. ...". Die Produkte von art of defence können durch ihre hohe Ergonomie und Effizienz die PCI DSS konforme Entwicklung und den Betrieb von Webanwendungen bei möglichst geringen Kosten gewährleisten.
Die Web Application Firewall hyperguard stellt eine Möglichkeit zur Absicherung einer öffentlich zugänglichen Webanwendung gemäß Sektion 6.6 des PCI DSS Standards dar. Die in hyperguard integrierten Logging Mechanismen sind konform zu den Auditierungsanforderungen für Sicherheitsprodukte in den Sektionen 10.2, 10.3 und 10.6 des PCI DSS Standards.
Das Sourcecode Analyse Tool hypersource unterstützt beim Code Review (PCI DSS 6.3.7) und bietet einen alternative Möglichkeit die Anforderungen an eine Absicherung von Webanwendungen in Sektion 6.6 zu erfüllen.
Jeder, der Karteninhaberdaten speichert, verarbeitet und/oder übermittelt, muss sich an die Sicherheitsvorgaben des PCI DSS halten. Hierbei ist die Größe der Organisation, ob Händler oder Dienstleister, und der Umfang der Kartentransaktionen unerheblich.
Level 1: Händler mit mehr als sechs Millionen Kartentransaktionen pro Jahr/Kartenmarke über alle Vertriebskanäle und Händler, deren kartenspezifische Kundendaten bereits kompromittiert wurden
Level 2: Händler mit ein bis sechs Millionen Kartentransaktionen pro Jahr/Kartenmarke über alle Vertriebskanäle
Level 3: Händler mit 20.000 bis 1 Million Kartentransaktionen im E-Commerce pro Jahr/Kartenmarke
Level 4: alle anderen Händler.
Abhängig von ihrer Kategorie müssen Händler unterschiedliche externe und interne Prüfungen (Scans, Audits) bestehen, um PCI-Compliance (Umsetzung/Einhaltung des PCI DSS) zu erreichen und dauerhaft aufrecht zu erhalten.