<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.6000.16788" name=GENERATOR></HEAD>
<BODY text=#000000 bgColor=#ffffff>
<DIV dir=ltr align=left><SPAN class=764481220-02032009><FONT face=Arial 
color=#0000ff size=2>So, can we get a project started to recommend publicly how 
PCI can be made better?</FONT></SPAN></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-leaders-bounces@lists.owasp.org 
[mailto:owasp-leaders-bounces@lists.owasp.org] <B>On Behalf Of </B>Mark 
Bristow<BR><B>Sent:</B> Monday, March 02, 2009 11:11 AM<BR><B>To:</B> 
owasp-leaders@lists.owasp.org<BR><B>Subject:</B> Re: [Owasp-leaders] PCI, more 
ego than brains...<BR></FONT><BR></DIV>
<DIV></DIV>I have a love hate relationship with PCI.<BR><BR>On the one hand (as 
has been pointed out already) compliance with PCI DSS does not make one 
secure.&nbsp; If the objective of PCI DSS was to secure web applications I'm not 
sure that it succeeds.<BR><BR>On the other hand I don't suspect that PCI was 
meant necessarily to secure web applications.&nbsp; PCI is more about liability 
and risk.&nbsp; Before PCI if you were breached, there were a handful of 
semi-applicable laws and regulations that may have been grounds for a lawsuit by 
the effected parties, assuming they ever knew they were effected.&nbsp; At least 
with PCI if a processor is found to be non-compliant there is a direct liability 
for that non-compliance and any additional lawsuits have additional grounds for 
their case.&nbsp; <BR><BR>As a security purist I would absolutely prefer that 
every application out there was 100% secure but as a realist and consultant you 
have to be more pragmatic.&nbsp; A very small percentage of people out there 
will make themselves secure for the sake of security.&nbsp; There has to be a 
risk analysis that shows it costs more (direct or indirect cost) to be insecure 
then the cost of the security investment for action to be taken.&nbsp; To it's 
credit PCI adds to the breach costs causing that risk decision to fall more 
often (but not always) on the side of security.<BR><BR>All that said, I'd love 
it if the standards were a bit more robust.&nbsp; Due to the position of the 
credit card companies they really have an opportunity to effect real change in 
the industry.&nbsp; If your breach results in the loss of your card processing 
capability it really effects the bottom line and therefore gets alot of 
attention.&nbsp; It'd be nice if they leveraged this position a bit more but 
I'll take what I can get.<BR><BR>&nbsp;I'm sure at least one website out there 
mitigated at least one vulnerability in an effort to be PCI compliant.&nbsp; 
Small victory?&nbsp; Absolutely at least it's a step in the right 
direction.<BR><BR>-Mark<BR><BR>Eoin wrote: 
<BLOCKQUOTE cite=mid:f3193c100903020748u73a061fbu6b1fb142e6c9e889@mail.gmail.com 
type="cite">
  <DIV>Its all cool baby......</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>I'm PCI compliant or so they say.... so I can hit the hackers with my 
  rolled-up cert when they come knocking on my web application.</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>If the payment card industry did nothing (did not introduce PCI DSS) we 
  would be complaining about the same thing, web insecurity.</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>PCI certification is not going to save&nbsp;us (them).&nbsp;The 
  insecurity is contained in the creation, application and deployment of the 
  building blocks of the web, PCI is never going to fix this or any other 
  certification.........</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Sure let them get certified, and hacked this is the cycle of 
  life....</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>but its cool man, "get certified, go to the next level" :)</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>-ek</DIV>
  <DIV>&nbsp;</DIV>
  <DIV><BR><BR>&nbsp;</DIV>
  <DIV class=gmail_quote>2009/2/28 Daniel Cuthbert <SPAN dir=ltr>&lt;<A 
  href="mailto:daniel.cuthbert@owasp.org" 
  moz-do-not-send="true">daniel.cuthbert@owasp.org</A>&gt;</SPAN><BR>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">When 
    I see stuff like this, it really does ram home the point of how little 
    people actually get 
    it.<BR><BR><BR><BR><BR>_______________________________________________<BR>OWASP-Leaders 
    mailing list<BR><A href="mailto:OWASP-Leaders@lists.owasp.org" 
    moz-do-not-send="true">OWASP-Leaders@lists.owasp.org</A><BR><A 
    href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target=_blank 
    moz-do-not-send="true">https://lists.owasp.org/mailman/listinfo/owasp-leaders</A><BR><BR></BLOCKQUOTE></DIV><BR><BR 
  clear=all><BR>-- <BR>Eoin Keary CISSP CISA<BR><A 
  href="https://www.owasp.org/index.php/OWASP_Ireland_AppSec_2009_Conference" 
  moz-do-not-send="true">https://www.owasp.org/index.php/OWASP_Ireland_AppSec_2009_Conference</A><BR><BR>OWASP 
  Code Review Guide Lead Author<BR>OWASP Ireland Chapter Lead<BR>OWASP Global 
  Committee Member (Industry)<BR><BR>Quis custodiet ipsos custodes<BR><PRE wrap=""><HR width="90%" SIZE=4>
_______________________________________________
OWASP-Leaders mailing list
<A class=moz-txt-link-abbreviated href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</A>
<A class=moz-txt-link-freetext href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</A>
  </PRE></BLOCKQUOTE><BR><PRE class=moz-signature cols="72">-- 
Mark Bristow

OWASP Global Conferences Committee member -
<A class=moz-txt-link-freetext href="https://www.owasp.org/index.php/Global_Conferences_Committee">https://www.owasp.org/index.php/Global_Conferences_Committee</A>
AppSec US 09 Organizer -
<A class=moz-txt-link-freetext href="https://www.owasp.org/index.php/OWASP_AppSec_US_2009_-_Washington_DC">https://www.owasp.org/index.php/OWASP_AppSec_US_2009_-_Washington_DC</A>
OWASP DC Chapter Co-Chair - <A class=moz-txt-link-freetext href="http://www.owasp.org/index.php/Washington_DC">http://www.owasp.org/index.php/Washington_DC</A></PRE><pre>************************************************************
This communication, including attachments, is for the exclusive use of addressee and may contain proprietary, confidential and/or privileged information.  If you are not the intended recipient, any use, copying, disclosure, dissemination or distribution is strictly prohibited.  If you are not the intended recipient, please notify the sender immediately by return e-mail, delete this communication and destroy all copies.
************************************************************
</pre></BODY></HTML>