Qualys scannt Web-Anwendungen für PCI-Compliance

Bei »QualysGuard PCI 3.0« überprüft ein Modul Web-Anwendungen automatisch auf Schwachstellen. Die On-Demand-Lösung hilft damit Unternehmen, die Payment-Card-Industry-Vorschriften (PCI) für Datensicherheit bei Web-Anwendungen einzuhalten.

Mit den »Data Security Standards« (DSS) schreibt das PCI Security Standards Council (Payment-Card-Industry) die Sicherheitsmassnahmen vor, wenn Unternehmen Kreditkartendaten in irgendeiner Form verarbeiten. Aber auch sonst ist PCI-DSS eine Leitlinie für die IT-Sicherheit im Unternehmen. Um die Einhaltung von PCI-DSS für Web-Anwendungen zu überprüfen, stellt Qualys für »QualysGuard 3.0« ein entsprechendes Modul bereit. Der Abschnitt 6.6 von PCI-DSS schreibt vor, Web-Applikationen auf ihre Sicherheit zu kontrollieren. Das »Web Application Scanning«-Modul (WAS) identifiziert auch bestimmte Elemente wie Login-Formulare oder Fehlerseiten automatisch. Auch benutzte Bandbreite lässt sich einstellen.

Über einen Crawling-Algorithmus scannt das WAS-Modul die Website. Es führt dabei Muster- und Verhaltensanalysen durch und greift auf ein Test-Framework zurück. Die automatische Identifikation von Web-Elementen hilft dem Scanner Änderungen an der Website leichter zu berücksichtigen.

Der Anwender kann definieren, wie viel Bandbreite das WAS-Modul maximal für den oder die Scans verbrauchen darf. Über die »Crawl only«-Option kategorisiert das Modul Links, ohne dabei einen Sicherheitscheck durchzuführen.

Neben dem WAS-Modul führt Qualysguard auch Compliance-Scans durch, hilft bei der Schwachstellenbeseitigung oder übermittelt den Compliance-Status elektronisch. Für ein Jahresabo von 995 Euro kann ein Unternehmen drei IP-Adressen und eine Web-Applikation beliebig oft mit Qualysguard prüfen.