<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
I have a love hate relationship with PCI.<br>
<br>
On the one hand (as has been pointed out already) compliance with PCI
DSS does not make one secure.  If the objective of PCI DSS was to
secure web applications I'm not sure that it succeeds.<br>
<br>
On the other hand I don't suspect that PCI was meant necessarily to
secure web applications.  PCI is more about liability and risk.  Before
PCI if you were breached, there were a handful of semi-applicable laws
and regulations that may have been grounds for a lawsuit by the
effected parties, assuming they ever knew they were effected.  At least
with PCI if a processor is found to be non-compliant there is a direct
liability for that non-compliance and any additional lawsuits have
additional grounds for their case.  <br>
<br>
As a security purist I would absolutely prefer that every application
out there was 100% secure but as a realist and consultant you have to
be more pragmatic.  A very small percentage of people out there will
make themselves secure for the sake of security.  There has to be a
risk analysis that shows it costs more (direct or indirect cost) to be
insecure then the cost of the security investment for action to be
taken.  To it's credit PCI adds to the breach costs causing that risk
decision to fall more often (but not always) on the side of security.<br>
<br>
All that said, I'd love it if the standards were a bit more robust. 
Due to the position of the credit card companies they really have an
opportunity to effect real change in the industry.  If your breach
results in the loss of your card processing capability it really
effects the bottom line and therefore gets alot of attention.  It'd be
nice if they leveraged this position a bit more but I'll take what I
can get.<br>
<br>
 I'm sure at least one website out there mitigated at least one
vulnerability in an effort to be PCI compliant.  Small victory? 
Absolutely at least it's a step in the right direction.<br>
<br>
-Mark<br>
<br>
Eoin wrote:
<blockquote
 cite="mid:f3193c100903020748u73a061fbu6b1fb142e6c9e889@mail.gmail.com"
 type="cite">
  <div>Its all cool baby......</div>
  <div> </div>
  <div>I'm PCI compliant or so they say.... so I can hit the hackers
with my rolled-up cert when they come knocking on my web application.</div>
  <div> </div>
  <div>If the payment card industry did nothing (did not introduce PCI
DSS) we would be complaining about the same thing, web insecurity.</div>
  <div> </div>
  <div>PCI certification is not going to save us (them). The insecurity
is contained in the creation, application and deployment of the
building blocks of the web, PCI is never going to fix this or any other
certification.........</div>
  <div> </div>
  <div>Sure let them get certified, and hacked this is the cycle of
life....</div>
  <div> </div>
  <div>but its cool man, "get certified, go to the next level" :)</div>
  <div> </div>
  <div> </div>
  <div>-ek</div>
  <div> </div>
  <div><br>
  <br>
 </div>
  <div class="gmail_quote">2009/2/28 Daniel Cuthbert <span dir="ltr">&lt;<a
 moz-do-not-send="true" href="mailto:daniel.cuthbert@owasp.org">daniel.cuthbert@owasp.org</a>&gt;</span><br>
  <blockquote class="gmail_quote"
 style="border-left: 1px solid rgb(204, 204, 204); margin: 0px 0px 0px 0.8ex; padding-left: 1ex;">When
I see stuff like this, it really does ram home the point of how little
people actually get it.<br>
    <br>
    <br>
    <br>
    <br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
    <a moz-do-not-send="true"
 href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
    <a moz-do-not-send="true"
 href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"
 target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
    <br>
  </blockquote>
  </div>
  <br>
  <br clear="all">
  <br>
-- <br>
Eoin Keary CISSP CISA<br>
  <a moz-do-not-send="true"
 href="https://www.owasp.org/index.php/OWASP_Ireland_AppSec_2009_Conference">https://www.owasp.org/index.php/OWASP_Ireland_AppSec_2009_Conference</a><br>
  <br>
OWASP Code Review Guide Lead Author<br>
OWASP Ireland Chapter Lead<br>
OWASP Global Committee Member (Industry)<br>
  <br>
Quis custodiet ipsos custodes<br>
  <pre wrap="">
<hr size="4" width="90%">
_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
  </pre>
</blockquote>
<br>
<pre class="moz-signature" cols="72">-- 
Mark Bristow

OWASP Global Conferences Committee member -
<a class="moz-txt-link-freetext" href="https://www.owasp.org/index.php/Global_Conferences_Committee">https://www.owasp.org/index.php/Global_Conferences_Committee</a>
AppSec US 09 Organizer -
<a class="moz-txt-link-freetext" href="https://www.owasp.org/index.php/OWASP_AppSec_US_2009_-_Washington_DC">https://www.owasp.org/index.php/OWASP_AppSec_US_2009_-_Washington_DC</a>
OWASP DC Chapter Co-Chair - <a class="moz-txt-link-freetext" href="http://www.owasp.org/index.php/Washington_DC">http://www.owasp.org/index.php/Washington_DC</a></pre>
</body>
</html>