Textversion
Gesetze/Standards Markt Produkte Services Branchen Whitepapers Fachbeiträge Schwerpunkte Webinare CCZ Literatur Governance Compliance-Archiv Compliance-Lexikon Success Stories Wer bietet was? Sponsoren Schulungen Security-News Compliance-Shop Specials Unternehmensprofile
Home Produkte Security-Lösungen

Produkte


Archivierung Compliance-Management Datenmanagement Dokumentation DMS und ECM E-Mail-Security Finanz-Lösungen Geschäfts-/IT-Prozess-Management Identity Management IT Governance-Management Netzwerkmanagement Risk Management Screening-Lösungen Security Management Security-Lösungen Servicemanagement Signatur-Lösungen Storage Management und Daten-Backup Storage-Systeme Systemmanagement Überwachung & Analyse Verschlüsselung sonstige

Schwerpunkt: Ethik und Compliance im Unternehmen Schwerpunkt: Identity Management & Compliance Events / Veranstaltungen Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Newsletter Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Datenschutzerklärung Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

PCI-konforme Absicherung von Online-Shops


Das schreibt PCI DSS vor: Web-Anwendungen durch sogenannte Web-Applicatio- Firewalls (WAF) absichern oder regelmäßig deren Quellcodes überprüfen
PCI-Compliance: Neue Sicherheitsvorschriften für Kreditkartentransaktionen ab 1. Juli 2008 - IT-Absicherung von Kreditkartendaten und -transaktionen

Anzeige

(12.06.08) - Zum 1. Juli 2008 verschärfen sich erneut die Vorschriften für die IT-Absicherung von Kreditkartendaten und -transaktionen. Ab diesem Zeitpunkt müssen Online-Shop-Betreiber oder Acquiring & Payment-Service-Provider die Web-Anwendungen durch sogenannte Web-Applicatio-Firewalls (WAF) absichern oder regelmäßig deren Quellcodes überprüfen. Das schreibt der PCI DSS (Payment Card Industry Data Security Standard) für Systeme vor, in die Kreditkartendaten eingegeben werden.

Das Unternehmen art of defence bietet Produkte für die beiden möglichen Sicherungsmaßnahmen an: Die Web-Application-Firewall "hyperguard" entspricht der PCI-Spezifikation, nach der ein- und ausgehende Daten auf der sogenannten Anwendungsebene untersucht werden müssen. Für Quellcode-Analysen können Unternehmen – aber auch PCI-Auditoren – den Web-Source-Code-Analyzer "hypersource" einsetzen. Er analysiert automatisiert den Quellcode auf häufig vorkommende Schwachstellen.

Der PCI-Standard ist der gemeinsame Sicherheitsstandard der Kreditkartenunternehmen; die aktuelle Version ist im vergangenen Jahr in Kraft getreten. Neu zum 1. Juli 2008 ist das verpflichtende Absichern von Web-Anwendungen, zum Beispiel eines Online-Shop-Systems, durch eine WAF oder durch regelmäßige Source-Code-Audits. Bisher war dies eine Best-Practice-Empfehlung.

Welche der beiden möglichen Alternativen aus dem PCI-Standard für ein Unternehmen empfehlenswert ist, hängt von zahlreichen Faktoren ab: Ein Web Source Code Analyzer wie hypersource scannt den Quellcode von Web-Anwendungen und zeigt Schwachstellen direkt im Code auf. Dies erleichtert das schnelle Beseitigen der Fehler. Das Analysewerkzeug beschleunigt so die Prüfung von eigenem oder zugeliefertem Code und trägt zu einem effizienten Abnahmeprozess bei.

Wenn der Quellcode von Web-Anwendungen dagegen nicht vorliegt – weil beispielsweise ein Online-Shop-System zugekauft wurde oder wenn eine Web-Anwendung aus Performance-Gründen nicht umfassend geändert werden kann – bietet sich der Einsatz einer Web-Application-Firewall wie hyperguard an. Dies sichert auch Web-Anwendungen, die heute sicher entwickelt wurden, für die aber später neue Schwachstellen bekannt werden.

Da aufgrund der derzeit sehr dynamischen Situation damit sicher zu rechnen ist, fordert der PCI-Standard im Falle von Source Code Audits nicht nur eine einmalige, sondern eine regelmäßige Prüfung der Web-Applikationen.
(art of defence: ra)

Lesen Sie auch:
Warum PCI DSS-Compliance wichtig ist
Novell Payment Card Industry Solution
PCI: Regelwerk im Zahlungsverkehr
PCI DDS: Hohe Sicherheitshürden für Webshops
PCI-Compliance: Bei Nichtbeachtung droht Bußgeld

Weitere Informationen:
PCI Security Standards Council
Account Information Security Programme (Visa Europe)


- Anzeigen -


Meldungen: Security-Lösungen

Data Loss Prevention und Compliance "Das Thema Data Loss Prevention ist zu einem der wichtigsten Themen für IT-Leiter und Compliance-Beauftragte geworden", erklärt Michael Scheffler, Geschäftsführer der Clearswift GmbH, bei der Vorstellung der neuen Version der Content Security-Lösung "Mimesweeper for SMTP". bei Mimesweeper for SMTP handelt es sich um ein E-Mail-Sicherheits- und Managementsystem, das mit seiner Funktionalität die komplexen Anforderungen großer Unternehmen mit verteilten Umgebungen in Hinsicht auf mehrstufige Sicherheitsmaßnahmen, Richtlinien, Prozesse und Abläufe erfüllen soll.

Sicherheitsvorschriften automatisiert umsetzen Neben Erweiterungen ihrer Datenschutzlösungen "Endpoint Encryption" und "Host Data Loss Prevention" liefert McAfee ab sofort die Produktneuheiten "Policy Auditor 5.0" sowie "Encrypted USB" aus. Damit können professionelle Anwender gesetzliche und betriebsinterne Sicherheitsvorschriften im gesamten Unternehmen durchsetzen.

PCI-konforme Absicherung von Online-Shops Zum 1. Juli 2008 verschärfen sich erneut die Vorschriften für die IT-Absicherung von Kreditkartendaten und -transaktionen. Ab diesem Zeitpunkt müssen Online-Shop-Betreiber oder Acquiring & Payment-Service-Provider die Web-Anwendungen durch sogenannte Web-Applicatio-Firewalls (WAF) absichern oder regelmäßig deren Quellcodes überprüfen.

Schutz bei Kreditkartentransaktionen Der IT-Security-Spezialistin Stonesoft wirbt für ihre "Stonegate"-Firewall- und IPS (Intrusion Prevention System)-Lösungen mit dem Hinweis, dass diese ein geeignetes Instrument darstellen, um die Compliance-Anforderungen der Payment Card Industry (PCI) zu erfüllen. Mit ihnen soll es möglich sein, PCI-konforme Compliance-Berichte zu erstellen.

Lösungen für Dateitransfer und Datenübertragung Vorschriften wie PCI DSS und Sarbanes-Oxley Act (SOX) sowie interne und externe Audits zwingen Unternehmen und Regierungsbehörden in immer stärkerem Maße zur Sicherung ihrer kritischen Daten. "SSH Tectia 6.0" mit "ConnectSecure 6.0" ist eine geeignete Lösung für Institutionen, die ihren Datenverkehr sichern müssen.

Sicherheit durch Zwei-Faktor-Authentifizierung Sicheres Identitäts-Management ist die Voraussetzung für hochwertige Anwendungen im Internet. Giesecke & Devrient (G&D), Herstellerin von USB-Sicherheits-Token, erweitert ihre Produktpalette um zwei Modelle. Das Modell "StarSign USB Token" ist in großen Stückzahlen personalisierbar und lässt sich flexibel auf die Sicherheitsanforderungen eines Projektes anpassen.

Sicherheits-Architektur für PCI DSS-konforme IT Mit einer PCI-Lösung stellt Cisco am 13. Dezember in Frankfurt eine Sicherheits-Architektur für eine Payment Card Industry (PCI) Data Security Standard (DSS) konforme IT vor.

Sicherheitsrichtlinien granular definieren CA bringt das "CA Host-Based Intrusion Prevention System" (CA HIPS) auf den Markt. Die neue Lösung verbindet moderne Firewall-, Intrusion Detection- und Intrusion-Prevention-Funktionen, um Computersysteme vor den immer komplexeren Angriffen und Bedrohungen aus dem Internet zu schützen. Mit ihr können Unternehmen PCs und Server zentral verwalten und gegen Gefahren schützen.

Schutz vor Weitergabe vertraulicher Daten Prinzipiell sind Dokumente aus der Finanzberichterstattung, Kundendaten, der Quellcode von Software oder geistiges Eigentum immer nur ein paar Mausklicks davon entfernt, an unbefugte Empfänger zu gelangen. In jüngster Vergangenheit haben Datenverluste von Unternehmen zu erheblichen Schäden geführt.

Web-Filter vermindern Haftung SurfControl heute bekannt, dass ab sofort ein neues Update für den "SurfControl Web Filter for Citrix Presentation Server" verfügbar ist. Der neue Web-Filter gibt den Nutzern Werkzeuge zur Steigerung Compliance an die Hand.

Druckbare Version

Sicherheitsvorschriften automatisiert umsetzen Schutz bei Kreditkartentransaktionen