Acceda al seminario web a pedido aquí
Evite un desastre de cumplimiento de $ 100,000/mes
31 de marzo de 2025: El cronómetro está marcando. ¿Qué pasaría si un solo script pasado por suspensión pudiera costarle a su negocio $ 100,000 por mes en multas por incumplimiento? Se avecina PCI DSS V4, y las empresas que manejan los datos de la plástico de suscripción deben estar preparados.
Más allá de las multas, el incumplimiento expone a las empresas al descremado web, ataques de guiones de terceros y amenazas emergentes basadas en el navegador.
Entonces, ¿cómo te preparas a tiempo?
Reflectiz se sentó con Abercrombie & Fitch (A&F), para una discusión sin restricciones sobre los desafíos más difíciles de PCI DSS V4.
Kevin Heffernan, Director de Aventura en A&F, compartió ideas procesables sobre:
- Lo que funcionó (y ahorró $$$)
- Lo que no lo hizo (y costará el tiempo y los bienes)
- Lo que desearían ocurrir sabido antiguamente
➡ Mira el seminario web PCI DSS V4 completo ahora
(Llegada gratis a pedido: aprenda de los expertos en cumplimiento de A&F)
¿Qué está cambiando en PCI DSS V4.0.1?
PCI DSS V4 presenta estándares de seguridad más estrictos, especialmente para scripts de terceros, seguridad del navegador y monitoreo continuo. Dos de los mayores desafíos para los comerciantes en itinerario son los requisitos 6.4.3 y 11.6.1.
Requisito 6.4.3 – Seguridad del script de la página de suscripción
La mayoría de las empresas dependen de scripts de terceros para abonar, examen, chat en vivo y detección de fraude. Pero los atacantes explotan estos scripts para inyectar código zorro en páginas de suscripción (ataques de estilo Magecart).
Nuevos mandatos PCI DSS V4:
Inventario de script: cada script cargado en el navegador de un agraciado debe registrarse y justificarse.
Controles de integridad: las empresas deben corroborar la integridad de todos los scripts de la página de suscripción.
Autorización: solo los scripts aprobados deben ejecutarse en las páginas de suscripción.
Cómo lo abordó A&F:
- Realizó auditorías de script para identificar dependencias de terceros innecesarias o riesgosas.
- Política de seguridad de contenido utilizada (CSP) para restringir los scripts de terceros.
- Utilizó aprobaciones automatizadas inteligentes para racionar tiempo y mosca.
Requisito 11.6.1 – Detección de cambio y manipulación
Incluso si sus scripts están seguros hoy, los atacantes pueden inyectar cambios maliciosos más tarde.
Nuevos mandatos PCI DSS V4:
Mecanismo: cambio continuo y implementación de mecanismo de detección de manipulación para cambios en la argumento de la página de suscripción.
Cambios no autorizados: monitoreo del encabezado HTTP para detectar modificaciones no autorizadas.
Integridad: controles de integridad semanales (o con decano frecuencia en función de los niveles de aventura e indicadores de compromiso).
Cómo lo abordó A&F:
- Implementado monitoreo continuo para detectar modificaciones no autorizadas.
- Utilizado información de seguridad y papeleo de eventos (SIEM) para monitoreo centralizado.
- Creó alertas automatizadas y aprobación por lotes para el script, la estructura y los cambios de encabezado en las páginas de suscripción.
Pruebe el tablero de reflexiones PCI-prueba gratuita de 30 días
Aggiornamento nuevo: la apostilla de exención SAQ
Una apostilla nuevo del Consejo PCI establece lo venidero con respecto a SAQ A Marchants (cuestionario de autoevaluación):
- Requisito de elegibilidad: Los comerciantes deben confirmar que su sitio no es susceptible a los ataques de guiones que afectan los sistemas de comercio electrónico.
- Opciones de cumplimiento:
- Implementar técnicas de protección (como las de los requisitos de PCI DSS 6.4.3 y 11.6.1), ya sea directamente o a través de un tercero
- U obtener la confirmación de los proveedores de servicios que cumplen con PCI DSS de que su posibilidad de suscripción integrado incluye protección contra el ataque de scripts
- Aplicabilidad limitada: El criterio solo se aplica a los comerciantes que utilizan páginas/formularios de suscripción integrados (por ejemplo, iframes) de proveedores de servicios de terceros.
- Exenciones: Los comerciantes que redirigen a los clientes a los procesadores de suscripción o subcontratan completamente las funciones de suscripción no están sujetos a este requisito.
- Recomendaciones: Los comerciantes deben consultar con sus proveedores de servicios sobre la implementación segura y corroborar con su adquirente que SAQ A es apropiado para su entorno.
Tenga en cuenta que incluso si califica para SAQ A, todo su sitio web debe estar asegurado. Muchas empresas aún necesitarán monitoreo y alertas en tiempo auténtico, lo que hace que las soluciones de cumplimiento completa sean relevantes independientemente.
Top 3 PCI DSS V4 de A&F (y cómo evitarlas)
Con múltiples páginas de suscripción para comprobar en todo el mundo, el alucinación de cumplimiento de Abercrombie y Fitch fue confuso. Kevin Heffernan, Director de Aventura, ha sugerido tres errores principales que a menudo cometen los comerciantes en itinerario.
Error #1: echarse en brazos solo en CSP
Si acertadamente la política de seguridad de contenido (CSP) ayuda a evitar los ataques basados en script, no cubre cambios dinámicos en scripts o bienes externos. PCI DSS requiere una demostración de integridad adicional.
Error #2: Ignorando a los proveedores de terceros
La mayoría de los minoristas dependen de las pasarelas de suscripción externas, los widgets de chat y los scripts de seguimiento. Si estos proveedores no cumplen, todavía eres responsable. Auditar regularmente las integraciones de terceros.
Error #3: Tratar el cumplimiento como una posibilidad única
PCI DSS V4 exige el monitoreo continuo: significa que no puede simplemente auditar scripts una vez y olvidarse de ello. Las soluciones de monitoreo continuo serán críticas para el cumplimiento.
Pruebe el tablero de reflexivo de reflexivo para el discernimiento escapado de 30 días.
Takeaways finales del alucinación de cumplimiento de PCI de A&F
- Evaluación de riesgos primero – Identificar y asignar vulnerabilidades, riesgos de la condena de suministro y configuraciones erróneas de los componentes antiguamente de saltar a los cambios de cumplimiento.
- Asegure los scripts de su página de suscripción – Configurar encabezados de seguridad HTTP estrictos, como CSP.
- Monitorear continuamente – Use alertas de detección continua de monitoreo continuo, SIEM y Detección de Tamper para las modificaciones de captura antiguamente de que los atacantes las exploten.
- No asuma que los vendedores lo tienen cubierto -Auditar scripts e integraciones de terceros: la responsabilidad de complemento no se detiene en su firewall.
La momento término del 31 de marzo de 2025 está más cerca de lo que piensas
Esperando demasiado tiempo para asomar Crea brechas de seguridad y riesgos multas costosas. La experiencia de A&F muestra por qué La preparación temprana es crítica.
➡ Evite las costosas multas PCI – Mira el seminario web PCI DSS V4 ahora para estudiar cómo un minorista general importante abordó el cumplimiento, y qué puede hacer hoy Evite las multas y los riesgos de seguridad.
Pruebe el tablero de reflexivo de reflexivo para el discernimiento escapado de 30 días.
