Une analyse approfondie portant sur des données compromises de cartes bancaires a démontré que les applications Web constituent fréquemment le point initial des attaques, notamment par l'intermédiaire d'injections SQL.
L'exigence 6.6 de PCI DSS propose deux options dont l'objectif est de répondre aux menaces habituelles à l'encontre des données des cartes bancaires et de garantir que les entrées destinées aux applications Web provenant d'environnements fiables soient inspectées de « fond en comble » : Un audit régulier du code et des pare-feux d'applications Web (WAF, Web Application Firewalls).
Les vulnérabilités minimales contre lesquelles se protéger sont décrites dans l'exigence 6.5 ou dans le Top 10 de l'OWASP, qui est considéré comme une liste de référence des menaces critiques concernant les applications web les plus courantes.
Toutefois, ces deux options étant considérées comme des Bonnes Pratiques, il est évident que les pare-feux applicatifs constituent l'option la plus avantageuse pour se conformer à l'exigence 6.6 de PCI DSS et assurer une sécurité essentielle.
La solution WAF Deny All allie un niveau de sécurité à la pointe avec des fonctionnalités de gestion globale des applications telles que les fonctions d'accélération, et de protection des services Web et XML. Cet ensemble complet de caractéristiques fait de la solution WAF de Deny All le meilleur produit pour se conformer à l'exigence 6.6 de PCI DSS.
"L'installation du firewall applicatif Deny All a été la solution la plus efficace et la plus rentable pour se conformer à la Norme PCI DSS et sécuriser le nombre croissant de nos applications web. La solution WAF de Deny All a été la plus facile à déployer, configurer et répliquer de toutes les solutions que nous avons étudiées."
Petri Vuontela, Directeur, Systèmes client chez Atkia
Dans le cadre de l'exigence 6.6, un pare-feu applicatif est un pare-feu pour les applications Web (en anglais WAF, Web Application Firewall). Il s'agit d'un point de renforcement de la politique de sécurité situé entre une application web et le client. Cette fonctionnalité peut s'installer sous forme logicielle ou matérielle, fonctionner sur une appliance ou un serveur classique. Le dispositif peut être autonome ou intégré à d'autres éléments du réseau.
Les WAF sont conçus pour inspecter les contenus de la couche applicative d'un paquet IP, ainsi que les contenus de toute autre couche qui pourrait servir à attaquer une application web.
La structure du paquet IP suit un modèle reposant sur des couches, chaque couche contenant des informations précises exécutées par des noeuds de réseau ou des composants (physiques ou logiciels) spécifiques prenant en charge le flux d'informations circulant par l'intermédiaire d'internet ou d'intranet. La couche contenant le contenu traité par l'application s'appelle couche applicative. La technologie WAF s'intègre de plus en plus à des solutions comprenant d'autres fonctions comme le filtrage de paquets, l'utilisation de proxies, la terminaison SSL, l'équilibrage de charge, la mise en cache d'objets, qui ne servent qu'à renforcer leur rentabilité.
Il est important de noter que la conformité n'est pas assurée par la simple utilisation d'un produit dont les capacités sont décrites dans ce document. Un emplacement, une configuration, une administration et un suivi appropriés constituent également des aspects fondamentaux assurant une solution conforme.