Cosa significa davvero PCI DSS V4 – Lezioni di A&F Conformance Journey

07 marzo 2025Le notizie di hackerSicurezza dei pagamenti / conformità

Accedi al webinar su richiesta qui

Evita un disastro di conformità di $ 100.000/mese

31 marzo 2025: l’orologio ticchetta. E se un singolo script trascurato potesse costare alla tua attività $ 100.000 al mese in multe di non conformità? PCI DSS V4 sta arrivando e le aziende che gestiscono i dati della carta di pagamento devono essere preparati.

Oltre a multe, la non conformità espone le imprese a Smellming Netattacchi di sceneggiatura di terze parti e minacce basate su browser emergenti.

Allora, come ti prepari in tempo?

Reflectz si è seduto con Abercrombie & Fitch (A&F), per una discussione senza esclusione di colpi sulle sfide più difficili del PCI DSS V4.

Kevin Heffernan, direttore del rischio presso A&F, condiviso intuizioni attuabili su:

• Cosa ha funzionato (e ha salvato $$$)
• Cosa non (e costò tempo e risorse)
• Quello che vorrebbero che avessero conosciuto prima

➡ Guarda ora il webinar completo PCI DSS V4

(Accesso su richiesta gratuito-Impara dagli esperti di conformità di A&F)

Cosa sta cambiando in PCI DSS v4.0.1?

PCI DSS V4 introduce normal di sicurezza più severi, specialmente per script di terze parti, sicurezza del browser e monitoraggio continuo. Due delle maggiori sfide per i commercianti on-line sono i requisiti 6.4.3 e 11.6.1.

Requisito 6.4.3 – Pagina di pagamento Sicurezza dello script

La maggior parte delle aziende si basa su script di terze parti per checkout, analisi, chat dal vivo e rilevamento di frodi. Ma gli aggressori sfruttano questi script iniettare codice dannoso In pagine di pagamento (attacchi in stile MageCart).

Nuovi mandati PCI DSS V4:

Inventario degli script: ogni script caricato nel browser di un utente deve essere registrato e giustificato.

Controlli di integrità: le aziende devono verificare l’integrità di tutti gli script di pagine di pagamento.

Autorizzazione: solo gli script approvati dovrebbero eseguire su pagine di pagamento.

Come ha affrontato A&F:

• Ha condotto audit di script per identificare dipendenze di terze parti non necessarie o rischiose.
• Politica di sicurezza dei contenuti utilizzata (CSP) per limitare gli script di terze parti.
• Utilizzato approvazioni automatiche intelligenti per risparmiare tempo e denaro.

Requisito 11.6.1 – Modifica e rilevamento di manomissione

Anche se i tuoi script sono sicuri oggi, gli aggressori possono iniettare cambiamenti dannosi in seguito.

Nuovi mandati PCI DSS V4:

Meccanismo – Cambiamento continuo e detenzione di rilevamento manomissione Distribuzione per le modifiche alla scrittura della pagina di pagamento.

Modifiche non autorizzate – Monitoraggio dell’intestazione HTTP per rilevare modifiche non autorizzate.

Integrità: controlli settimanali di integrità (o più frequentemente basati sui livelli di rischio e gli indicatori di compromesso).

Come ha affrontato A&F:

• Distribuito monitoraggio continuo per rilevare modifiche non autorizzate.
• Informazioni sulla sicurezza utilizzate e gestione degli eventi (SIEM) per il monitoraggio centralizzato.
• Creazione di avvisi automatizzati e approvazione batch per le modifiche di script, struttura e intestazione nelle pagine di checkout.

Prova la dashboard PCI riflettente-prova gratuita di 30 giorni

Aggiornamento recente: il chiarimento dell’esenzione SAQ A

Un recente chiarimento Dal Consiglio PCI afferma quanto segue su SAQ A Marchants (questionario di autovalutazione):

1. Requisito di ammissibilità: I commercianti devono confermare che il loro sito non è suscettibile agli attacchi di script che incidono sui sistemi di e-commerce.
2. Opzioni di conformità:
   • Implementare le tecniche di protezione (come quelle dei requisiti DSS PCI 6.4.3 e 11.6.1) direttamente o attraverso una terza parte
   • O ottenere conferma dai fornitori di servizi conformi a PCI DSS che la loro soluzione di pagamento incorporata embrace protezione degli attacchi di script
3. Applicabilità limitata: I criteri si applicano solo ai commercianti che utilizzano pagine/moduli di pagamento incorporate (advert es. IFRAMES) da fornitori di servizi di terze parti.
4. Esenzioni: I commercianti che reindirizzano i clienti ai processori di pagamento o esternalizzano completamente le funzioni di pagamento non sono soggetti a questo requisito.
5. Raccomandazioni: I commercianti dovrebbero consultare i loro fornitori di servizi sull’implementazione sicura e verificare con il loro acquirente che SAQ A è appropriato per il loro ambiente.

Nota che anche se si qualifica per SAQ A, l’intero sito Net deve essere comunque protetto. Molte aziende avranno ancora bisogno di monitoraggio e avvisi in tempo reale, rendendo pertinenti le soluzioni di conformità full.

Le prime insidie ​​PCI DSS V4 di A&F (e come evitarle)

Con più pagine di pagamento da garantire in tutto il mondo, il percorso di conformità di Abercrombie e Fitch è stato complesso. Kevin Heffernan, direttore del rischio, ha suggerito tre errori principali che i commercianti on-line spesso commettono.

Errore n. 1: fare affidamento solo su CSP

Mentre la politica di sicurezza dei contenuti (CSP) aiuta a prevenire gli attacchi basati su script, non copre i cambiamenti dinamici negli script o nelle risorse esterne. PCI DSS richiede un’ulteriore verifica dell’integrità.

Errore n. 2: ignorare i venditori di terze parti

La maggior parte dei rivenditori si affida a gateway di pagamento esterni, widget di chat e script di monitoraggio. Se questi fornitori non sono conformi, sei ancora responsabile. Audit regolarmente integrazioni di terze parti.

Errore n. 3: trattare la conformità come una soluzione una tantum

PCI DSS V4 impone un monitoraggio continuo: il significato non puoi semplicemente controllare gli script una volta e dimenticarlo. Le soluzioni di monitoraggio continuo saranno fondamentali per la conformità.

Prova il dashboard PCI riflettente per 30 giorni di prova libera.

Takeaway finali dal percorso di conformità PCI di A&F

• Valutazione del rischio prima – Identificare e mappare le vulnerabilità, i rischi della catena di approvvigionamento e le errate configurazioni dei componenti prima di saltare nei cambiamenti di conformità.
• Proteggere gli script della pagina di pagamento – Configurare rigorose intestazioni di sicurezza HTTP, come CSP.
• Monitorare continuamente – Utilizzare avvisi di rilevamento di monitoraggio continuo, SIEM e manomissione per catturare modifiche prima che gli aggressori li sfruttassero.
• Non dare per scontato che i venditori ti abbiano coperto -Audit script e integrazioni di terze parti: la responsabilità di conformità non si ferma al tuo firewall.

La scadenza del 31 marzo 2025 è più vicina di quanto pensi

Aspettando troppo a lungo per iniziare Crea lacune di sicurezza e rischi costosi multe. L’esperienza di A&F mostra perché La preparazione anticipata è fondamentale.

➡ Evita costose multe PCI – Guarda ora il webinar PCI DSS V4 Per imparare come un importante rivenditore globale ha affrontato la conformità e cosa puoi fare oggi Evita multe e rischi per la sicurezza.

Prova il dashboard PCI riflettente per 30 giorni di prova libera.