Qualys veröffentlicht QualysGuard PCI 3.0 mit Modul zum Scannen von Weban-wendungen

REDWOOD CITY, KALIFORNIEN - 1. Oktober 2008 - Qualys®, Inc., der führende Anbieter von Lösungen für das Management von IT-Sicherheitsrisiken und Compliance, kündigte heute QualysGuard® PCI 3.0 an, eine neue Version der branchenweit meistgenutzten On-Demand-Scanning-Applikation für fortlaufendes PCI-Compliance-Management. QualysGuard PCI 3.0 verfügt über ein neues Modul für Web Application Scanning (WAS), das die bisherigen Leistungsmerkmale der Lösung – Compliance-Scans, Schwachstellenbeseitigung und elektronische Übermittlung des Compliance-Status – mit der automatischen Analyse von Webanwendungen verbindet. Diese Neuerung erleichtert Händlern die effektive Erfüllung der aktuellen PCI Data Security Standards, einschließlich Abschnitt 6.6, der die Si-cherung von Webanwendungen vorschreibt.

Die mittlerweile verbindliche Anforderung im Rahmen des soeben veröffentlichten PCI Data Security Standards 1.2 besagt, dass alle öffentlich zugänglichen Webanwendungen durch eine der folgenden Methoden geschützt werden müssen: 1) Überprüfung der Anwendungen durch manuelle oder automa-tische Werkzeuge oder Methoden zur Schwachstellenanalyse oder 2) Installation einer Firewall auf Anwendungsebene vor öffentlich genutzten Webanwendungen.

„Die Einhaltung des PCI Data Security Standards ist kein einmaliges Ereignis, sondern ein fortlaufen-der Prozess“, erklärte Avivah Litan, VP und renommierter Analyst bei Gartner Inc. „Am besten sind Unternehmen beraten, wenn sie Tools nutzen, die diesen Prozess kontinuierlich und weitestgehend automatisiert durchführen.“

Das Web Application Scanning Modul von QualysGuard PCI 3.0 ist ein automatisiertes Werkzeug, das Webanwendungen vor und nach der Implementierung überprüft. Dadurch wird gewährleistet, dass die Anwendungen auf sichere Weise programmiert und gepflegt werden. Das als Software-as-a-Service (SaaS) bereitgestellte WAS-Modul scannt angepassten Code vollautomatisch auf Schwachstellen und gibt den Kunden die Möglichkeit, Webanwendungen zu crawlen, Cross-Site-Scripting-Schwachstellen zu finden, SQL-Injection-Angriffe zu isolieren und authentisierte wie auch unauthentisierte Scans durchzuführen.

Das WAS-Modul von QualysGuard PCI 3.0 bietet folgende Funktionen und Vorteile:

• Automatisches Scannen von Webanwendungen: Das WAS-Modul von QualysGuard PCI 3.0 setzt einen automatisierten Crawling-Algorithmus ein, der kombinierte Muster- und Verhal-tensanalysen durchführt, um in einem konsistenten, reproduzierbaren Test-Framework die Genauigkeit zu erhöhen und False Positives zu reduzieren.
• Intuitive Authentifizierung: QualysGuard PCI 3.0 identifiziert Login-Formulare, Fehlerseiten und andere spezifische Merkmale ohne manuelle Eingriffe, wodurch sich der Web Application Scanner leichter an Veränderungen anpassen kann, wenn sich eine Website weiterentwickelt. Außerdem kann der Scanner dadurch unbekannte oder Legacy-Webanwendungen überprü-fen, über die vielleicht nur wenige Informationen zur Verfügung stehen.
• Leistungsoptimierung: QualysGuard PCI 3.0 gibt den Benutzern die Möglichkeit festzule-gen, wie viel Bandbreite für den bzw. die Scans bereitgestellt werden soll. Auf diese Weise können Unternehmen die Auswirkungen des Scans auf eine Webanwendung minimieren und die Latenz reduzieren. Zudem steht auch eine „Crawl only“-Option zur Verfügung, um Links zu katalogisieren, ohne dass Sicherheitschecks durchgeführt werden.
• Nahtlose Integration in die Lösung QualysGuard PCI: Das WAS-Modul ist eng in die be-stehende On-Demand-Lösung QualysGuard PCI der Kunden integriert und erfordert daher keine zusätzlichen Hardware- oder Software-Ressourcen.

„Seit der Einführung des PCI DSS haben wir alles getan, um den jeweils neuesten Änderungen in un-serem SaaS-Angebot Rechnung zu tragen, damit unsere Kunden, wie von Gartner empfohlen, ihr Ver-fahren automatisieren und gleichzeitig ihre Kosten senken können“, sagte Philippe Courtot, Chairman und CEO von Qualys. „Mit der WAS-Unterstützung in QualysGuard PCI geben wir unseren Kunden die Möglichkeit, die neue PCI-Vorschrift 6.6 ohne Installation zusätzlicher Software zu erfüllen, und ver-setzen gleichzeitig unsere Partner in die Lage, erweiterte Expertendienste zur Prüfung der Ergebnisse anzubieten.“

Qualys’ On-Demand-Lösung für PCI-Compliance bleibt der De-Facto-Standard für Händler, die den schnell veränderlichen Anforderungen des PCI DSS entsprechen müssen. Mehr als 1.500 Unterneh-men nutzen QualysGuard PCI und scannen damit pro Quartal mehr als 500.000 Hosts. Darüber hin-aus gibt QualysGuard PCI Partner-Anbietern die nötigen Tools an die Hand, um zügig als Approved Scanning Vendor (ASV) für PCI-Compliance zugelassen zu werden. Mehr als 57 Prozent aller PCI DSS ASVs und Qualified Security Assessors (QSAs) setzen QualysGuard ein, um ihren Kunden zur PCI-Zertifizierung zu verhelfen und Dienstleistungen im Zusammenhang mit PCI zu erbringen.

Preise und Verfügbarkeit

QualysGuard PCI 3.0 ist ab 13. Oktober 2008 allgemein verfügbar. Preis: Jahresabonnement ab 995 € (für unbegrenzt viele Scans von drei IP-Adressen und einer Webanwendung plus 24x7 Kundendienst).

Über Qualys

Qualys, Inc. ist der führende Anbieter von On-Demand-Lösungen für IT-Sicherheits- und Compliance-Management, die als Service bereitgestellt werden. Die Software-as-a-Service-Lösungen von Qualys kön-nen innerhalb von Stunden an jedem Ort der Welt verfügbar gemacht werden und vermitteln den Kunden einen sofortigen und kontinuierlichen Überblick über ihre Sicherheits- und Compliance-Aufstellung. Der Service QualysGuard® wird derzeit von mehr als 3.500 Unternehmen in 85 Ländern genutzt – darunter 35 der Fortune Global 100 – und führt pro Jahr mehr als 200 Mio. IP-Audits durch. Bei einem Unternehmen der Fortune Global 50 betreibt Qualys die weltweit größte Installation einer Schwachstellenmanagement-Lösung mit mehr als 223 Appliances, die auf 53 Länder verteilt sind und mehr als 700.000 Systeme scan-nen. Qualys hat strategische Vereinbarungen mit führenden Managed Service Providern und Consulting-Firmen geschlossen, darunter BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, SecureWorks, Symantec, TELUS und Verisign.

###

Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.

For media inquiries or to find the appropriate spokesperson
Contact: Ursula Kafka
Kafka Kommunikation
+49 89 76759434
ukafka@kafka-kommunikation.de

For all other matters
Contact: pr@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com