Akses webinar on-demand di sini
Hindari bencana kepatuhan $ 100.000/bulan
31 Maret 2025: Jam berdetak. Bagaimana jika satu skrip yang diabaikan dapat dikenakan biaya bisnis Anda $ 100.000 per bulan untuk denda ketidakpatuhan? PCI DSS V4 akan datang, dan bisnis yang menangani data kartu pembayaran harus disiapkan.
Di luar denda, ketidakpatuhan memperlihatkan bisnis pada skimming web, serangan skrip pihak ketiga, dan ancaman berbasis browser yang muncul.
Jadi, bagaimana Anda bersiap -siap tepat waktu?
Reflectiz duduk bersama Abercrombie & Fitch (A&F), untuk diskusi tanpa-keluhan tentang tantangan PCI DSS V4 terberat.
Kevin Heffernan, Direktur Risiko di A&F, berbagi wawasan yang dapat ditindaklanjuti tentang:
- Apa yang berhasil (dan menghemat $$$)
- Apa yang tidak (dan biaya waktu & sumber daya)
- Apa yang mereka harapkan sebelumnya
➡ Tonton webinar PCI DSS V4 lengkap sekarang
(Akses On-Demand GRATIS-Belajar dari Pakar Kepatuhan A&F)
Apa yang berubah di PCI DSS v4.0.1?
PCI DSS V4 memperkenalkan standar keamanan yang lebih ketat-terutama untuk skrip pihak ketiga, keamanan browser, dan pemantauan berkelanjutan. Dua tantangan terbesar untuk pedagang online adalah persyaratan 6.4.3 dan 11.6.1.
Persyaratan 6.4.3 – Keamanan Skrip Halaman Pembayaran
Sebagian besar bisnis mengandalkan skrip pihak ketiga untuk checkout, analitik, obrolan langsung, dan deteksi penipuan. Tetapi penyerang mengeksploitasi skrip ini untuk menyuntikkan kode jahat ke halaman pembayaran (serangan gaya Magecart).
Mandat PCI DSS V4 Baru:
Inventarisasi Script – Setiap skrip yang dimuat di browser pengguna harus dicatat dan dibenarkan.
Kontrol Integritas – Bisnis harus memverifikasi integritas semua skrip halaman pembayaran.
Otorisasi – Hanya skrip yang disetujui yang harus dieksekusi pada halaman checkout.
Bagaimana A&F menanganinya:
- Audit skrip yang dilakukan untuk mengidentifikasi dependensi pihak ketiga yang tidak perlu atau berisiko.
- Digunakan Kebijakan Keamanan Konten (CSP) untuk membatasi skrip pihak ketiga.
- Memanfaatkan persetujuan otomatis pintar untuk menghemat waktu dan uang.
Persyaratan 11.6.1 – Deteksi Perubahan & Tamper
Bahkan jika skrip Anda aman hari ini, penyerang dapat menyuntikkan perubahan berbahaya nanti.
Mandat PCI DSS V4 Baru:
Mekanisme – Perubahan Berkelanjutan dan Penerapan Mekanisme Mekanisme untuk Perubahan Skrip Halaman Pembayaran.
Perubahan tidak sah – Pemantauan header HTTP untuk mendeteksi modifikasi yang tidak sah.
Integritas – Pemeriksaan integritas mingguan (atau lebih sering berdasarkan tingkat risiko dan indikator kompromi).
Bagaimana A&F menanganinya:
- Disusahkan pemantauan terus menerus untuk mendeteksi modifikasi yang tidak sah.
- Menggunakan informasi keamanan dan manajemen acara (SIEM) untuk pemantauan terpusat.
- Dibuat peringatan otomatis dan persetujuan batch untuk skrip, struktur, dan perubahan header pada halaman checkout.
Coba Dasbor PCI Refleksiz-uji coba 30 hari gratis
Pembaruan Terbaru: Klarifikasi Pengecualian SAQ A
Klarifikasi baru -baru ini dari Dewan PCI menyatakan berikut tentang Saq a Marchants [self-assessment questionnaire]:
- Persyaratan kelayakan: Pedagang harus mengkonfirmasi situs mereka tidak rentan terhadap serangan skrip yang mempengaruhi sistem e-commerce.
- Opsi kepatuhan:
- Menerapkan teknik perlindungan (seperti yang ada dalam persyaratan PCI DSS 6.4.3 dan 11.6.1) baik secara langsung atau melalui pihak ketiga
- Atau memperoleh konfirmasi dari penyedia layanan PCI DSS yang sesuai bahwa solusi pembayaran tertanam mereka termasuk perlindungan serangan skrip
- Penerapan terbatas: Kriteria hanya berlaku untuk pedagang menggunakan halaman/formulir pembayaran tertanam (misalnya, iframes) dari penyedia layanan pihak ketiga.
- Pengecualian: Pedagang yang mengarahkan pelanggan ke pemroses pembayaran atau sepenuhnya melakukan outsourcing fungsi pembayaran tidak tunduk pada persyaratan ini.
- Rekomendasi: Pedagang harus berkonsultasi dengan penyedia layanan mereka tentang implementasi yang aman dan memverifikasi dengan pengakuisisi mereka bahwa SAQ A sesuai untuk lingkungan mereka.
Perhatikan bahwa bahkan jika Anda memenuhi syarat untuk SAQ A, seluruh situs web Anda masih harus diamankan. Banyak bisnis masih akan membutuhkan pemantauan dan peringatan real-time, membuat solusi kepatuhan penuh relevan.
Perangkap 3 PCI DSS V4 teratas A&F (dan bagaimana menghindarinya)
Dengan beberapa halaman pembayaran untuk diamankan di seluruh dunia, perjalanan kepatuhan Abercrombie dan Fitch sangat rumit. Kevin Heffernan, Direktur Risiko, telah menyarankan tiga kesalahan utama yang sering dilakukan pedagang online.
Kesalahan #1: hanya mengandalkan CSP
Sementara Kebijakan Keamanan Konten (CSP) membantu mencegah serangan berbasis skrip, itu tidak mencakup perubahan dinamis dalam skrip atau sumber daya eksternal. PCI DSS memerlukan verifikasi integritas tambahan.
Kesalahan #2: Mengabaikan vendor pihak ketiga
Sebagian besar pengecer bergantung pada gateway pembayaran eksternal, widget obrolan, dan skrip pelacakan. Jika vendor ini tidak patuh, Anda masih bertanggung jawab. Audit secara teratur integrasi pihak ketiga.
Kesalahan #3: Memperlakukan kepatuhan sebagai perbaikan satu kali
PCI DSS V4 mengamanatkan pemantauan berkelanjutan – artinya Anda tidak bisa hanya mengaudit skrip sekali dan melupakannya. Solusi pemantauan berkelanjutan akan sangat penting untuk kepatuhan.
Coba Dasbor PCI Refleksiz untuk uji coba bebas 30 hari.
Takeaways final dari perjalanan kepatuhan PCI A&F
- Penilaian risiko terlebih dahulu – Mengidentifikasi dan memetakan kerentanan, risiko rantai pasokan, dan salah konfigurasi komponen sebelum melompat ke perubahan kepatuhan.
- Amankan skrip halaman pembayaran Anda – Mengkonfigurasi header keamanan HTTP yang ketat, seperti CSP.
- Pantau terus menerus – Gunakan pemantauan berkelanjutan, siem, dan peringatan deteksi tamper untuk menangkap modifikasi sebelum penyerang mengeksploitasi mereka.
- Jangan menganggap vendor yang telah Anda liput -Audit skrip dan integrasi pihak ketiga-tanggung jawab kepatuhan tidak berhenti di firewall Anda.
Batas waktu 31 Maret 2025 lebih dekat dari yang Anda pikirkan
Menunggu terlalu lama untuk memulai menciptakan kesenjangan dan risiko keamanan yang mahal. Pengalaman A&F menunjukkan mengapa Persiapan awal sangat penting.
➡ Hindari denda PCI yang mahal – Tonton webinar PCI DSS V4 sekarang Untuk mempelajari bagaimana pengecer global utama mengatasi kepatuhan – dan apa yang dapat Anda lakukan hari ini Hindari denda dan risiko keamanan.
Coba Dasbor PCI Refleksiz untuk uji coba bebas 30 hari.
