Организация Open Web Application Security Project в рамках конференции AppSec DC 2009, проводимой с 10 по 13 ноября в Вашингтоне, анонсирует новую версию OWASP Top 10 2009.

На суд участников будет представлена уже 3-я по счету версия «горячей десятки» недостатков безопасности web-приложений. Отличительной особенностью нового издания по заверениям авторов является ориентирование на риски для web-приложений, а не конкретные уязвимости.

На конференции будет представлен черновик OWASP top 10 2009, окончательный релиз ожидается в начале 2010 года.

Согласно стандарту PCI DSS версии 1.2 требования 6.5, предъявляемые к разработке web-приложений, необходимо оценивать основываясь в первую очередь на актуальную версию OWASP top 10. (The vulnerabilities listed at 6.5.1 through 6.5.10 were current in the OWASP guide when this version of PCI DSS was published. However, if and when the OWASP guide is updated, the current version must be used for these requirements)

Не так давно в сети развернулась дискуссия относительно противоречивости мнений аудиторов различных компаний, толчком к которой явилось мнение о передаче номеров платежных карт в открытом виде во внутренней сети компании. Тема оказалось достаточно интересной и её подхватили авторитетные в области информационной безопасности специалисты, что ещё больше «подлило масла в огонь», а вместе с тем добавило замешательства специалистам относительно выполнений требований стандарта PCI DSS. Попробуем разобраться, опираясь на официальные документы консула, в ставшем «камнем преткновения» вопросе.

Опубликована русская версия обновленного текста требований стандарта PCI DSS.

Перечень изменений в стандарте

Скачать текст стандарта можно в разделе «Файлы»

Платежная система MasterCard внесла изменения в программу Site Data Protection (SDP), чтобы помочь торгово-сервисным предприятиям (ТСП), сторонним процессингам (Third Party Processors, TPPs) и организациям хранения данных (Data Storage Entities, DSEs) соответствовать стандарту безопасности индустрии платежных карт PCI DSS. Изменения в программе включают:

• изменения в структуре оценки несоответствия SDP;
• новое требование для ТСП 1 и 2 уровня — необходимо приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита;
• изменение в классификации — все сторонние процессинги независимо от объема транзакций и организации хранения данных с количеством транзакций более 300 000 в год классифицируются как сервис-провайдеры 1 уровня;
• изменение в классификации — организации хранения данных с ежегодным объемом менее 300 000 транзакций классифицируются как сервис-провайдеры 2 уровня;
• предоставление отчетов с использованием Приоритезированного подхода (Prioritized Approach).