TigerTeam - suomalainen tietoturvablogi

PCI-tietoturvastandardin vaatimus 6.6, joka tähän asti on ollut ainoastaan suositus, muuttuu pakolliseksi tänään 30.6. Vaatimus 6.6 käsittelee web-sovellusten suojausta, joka voidaan toteuttaa kahdella pääasiallisella tavalla: koodikatselmoinnilla tai web-sovelluspalomuurilla.

Koodikatselmointi ei välttämättä tarkoita manuaalista työtä, vaan sen voi toteuttaa myös automaattisilla siihen tarkoitetuilla työkaluilla. Katselmoinnin voi suorittaa kuka tahansa riittävät taidot omaava henkilö yrityksen sisältä tai ulkoa. Mikäli yritys tekee katselmoinnin sisäisesti, tulisi katselmoijan kuitenkin olla organisatorisesti eriytetty web-sovelluksen omistajista/tekijöistä.

Web-sovelluspalomuuri (Web Application Firewall, WAF) on vaihtoehtoinen tapa täyttää tämä PCI-vaatimus. WAF tulee asettaa web-sovelluksen ja asiakkaan (client) väliin niin, että se muodostaa yhden suojauskerroksen lisää perinteisten palomuurien lisäksi sovelluskerrokselle. WAF:n tulisi pystyä reagoimaan tunnettuihin web-hyökkäyksiin kuten niihin, jotka on kuvattu OWASP Top 10:ssä ja PCI-vaatimus 6.5:ssä.

Kannattaa huomioida, että vaikka yritys auditoitaisiin seuraavan kerran esimerkiksi vasta puolen vuoden päästä, on vaatimus 6.6 kuitenkin pakollinen jo tänään.

PCI Council:in hyvä tietopaketti aiheesta löytyy täältä (pdf).

Bob Russo, PCI Security Standards Councilin General Manager on vahvistanut tiedon, jonka mukaan seuraava PCI DSS -versio julkistettaisiin syyskuussa 2008.

Päivitys: PCI Councilin tiedotteen (pdf) mukaan PCI DSS 1.2 ilmestyy lokakuussa.

PCI Councilin jäsenille ja meille auditoreille uusi versio tulee nähtäväksi loppukesästä. Uskomme langattomien verkkojen sekä www-sovelluksien tietoturvan olevan uudessa versiossa vahvemmin ja entistä selvemmin esillä. Kovasti keskustelua herättänyt vaatimus 6.6 sovellustason palomuurista (web-application level firewall) tai koodikatselmoinnista saa varmasti uudessa versiossa kaivattua täsmennystä.