Additional information: Requirement 6.6: Clarify code review and application firewalling

PCI DSS Requirement 6.6 provides you with two options for addressing common threats to cardholder data by ensuring that data input to web applications from untrusted environments is checked “from beginning to end.” Exactly how this requirement is met depends on the specific implementation supporting the specific application. Detailed analysis of cardholder data breaches has shown that web applications are often the starting point for attacks on cardholder data, particularly through SQL injection. The intent of Requirement 6.6 is to ensure that web applications exposed to the public Internet are protected from the most common malicious input attacks. A large amount of public information exists on the Internet regarding web application vulnerabilities. The most basic vulnerabilities to consider are listed in Requirement 6.5. (See the References section for additional sources of information on web application testing.) Proper implementation of both options provides you with the best multi-layered defense. PCI DSS recognizes that the cost and operational complexity of deploying both options may make it impractical. In addition, one or the other option may not be feasible in certain circumstances (e.g., source code is not available). However, we can use at least one of the alternatives described in this article, which, when properly implemented, will meet the intent of this requirement. This document can provide guidance for determining the best choice, depending on the products used and how your organization acquires or develops its network applications, as well as other environmental factors.