Pagos Digitales

Countdown a PCI DSS V4.0 Cumplimiento: Requisitos clave

Photo of Mary Mary Send an email February 5, 2025
0 0 4 minutes read
Countdown a PCI DSS V4.0 Cumplimiento: Requisitos clave

Escrito por Rui Ribeiro, CEO y cofundador de JSCrambler

2024 es otro año importante para el ataque de escasas electrónicas. de acuerdo a Registre el futuroEn comparación con el período anterior, los incidentes Magecart o E-Skimming aumentaron en un 103% en la primera mitad de 2024.

Malware

Los fanáticos del fútbol americano, especialmente los de Wisconsin, están involucrados en un ejemplo de Green Bay Packers. A principios de enero, el equipo reveló que el código malicioso se encontró en el sitio web de su tienda profesional, lo que podría permitir que terceros no autorizados accedan a la información del cliente ingresada al momento de pagar.

Tales incidentes no son infrecuentes. Se están volviendo más comunes. Según el 2024 de Jscrambler InvestigaciónEl 97% de los encuestados dijo que sabían que las etiquetas de terceros recopilarían información confidencial o privada regularmente. Además, el 49% admite que en los últimos 12 meses, estas etiquetas han recopilado datos que no deberían estar usando. Esto incluye tráfico del sitio web, datos de la tabla de sitios web, inicio de sesión, pedidos, información de redes sociales, detalles de la cuenta de clientes y más.

Los nuevos requisitos de cumplimiento de PCI DSS V4.0 son inminentes

PCI DSS V4.0 Fecha límite de cumplimiento

Dichas ideas impulsan el Comité de Normas de Seguridad de la Industria de Tarjetas de Pagos (PCI SSC) para introducir PCI DSS V4.0, una respuesta directa a las amenazas cibernéticas dirigidas a entornos de pago.

Con la fecha límite de cumplimiento del 31 de marzo, se acercan rápidamente los nuevos requisitos en las últimas versiones, y cualquier empresa que almacene, procese, transfiera o pueda afectar la seguridad de los datos del titular de la tarjeta (CHD). Esto incluye comerciantes, procesadores de pagos, instituciones financieras, etc.

Comprender los requisitos 6.4.3 y 11.6.1

A primera vista, V4.0 parece desalentador, incluidos más de 60 requisitos de actualización. Sin embargo, solo me centraré en los dos requisitos clave para prevenir los ataques de manipulación y saqueo de JavaScript no autorizados (6.4.3 y 11.6.1), lo que lo hace más fácil.

Cuando comienza a cumplir con el cumplimiento, debe tener los detalles de estos dos requisitos:

Requisito 6.4.3: Gestión de scripts

Este requisito garantiza que todos los scripts en la página de pago se administren correctamente. Para las empresas, esto significa:

PCI DSS V4.0
  • Confirme que todos los scripts están autorizados y necesarios.
  • Asegurar la integridad de cada script.
  • Mantenga una lista de todos los scripts que se ejecutan actualmente en la página de pago.

Para crear una lista de script, primero determine todas las páginas de pago que recopilan datos de la tarjeta de pago. Para algunos empresarios, esto puede ser solo una página. Para otros, puede haber múltiplos. A continuación, registre el nombre, la función, la fuente de cada script (desarrollado internamente o de terceros), razones por qué es necesario y cómo y quién está autorizado.

Mantener este inventario es un proceso continuo que ayudará al equipo a identificar scripts no autorizados o maliciosos, garantizar el cumplimiento continuo de PCI DSS V4.0 y prevenir ataques de clientes costosos como Magecart o Ekming E, que continúan creciendo en frecuencia:

  • Según el 2024 de Verizon Informe de investigación de violación de datosLos ataques de Magecart representan el 18% de todas las violaciones de datos en el sector minorista.
  • En 2024, el minorista SelectBlinds, con sede en Arizona, reveló una violación masiva de datos electrónicos de acné que afectó a 206,238 clientes.

Requisito 11.6.1: Monitoreo y alerta

Para hacer esto, el enfoque cambia al monitoreo de cambios no autorizados en la página de pago. Aquí, las empresas necesitan:

  • Implementar mecanismos para detectar cambios no autorizados.
  • Asegúrese de que estos cheques se realicen al menos semanalmente.
  • Use un sistema de vigilancia que pueda alertar a las personas a tiempo para notificar las posibles amenazas para una respuesta rápida.
PCI DSS V4.0

Las inspecciones regulares son cruciales, dada la frecuencia de los controles requeridos y la complejidad de los entornos de red modernos, debe renunciar rápidamente a cualquier idea de filtrar scripts manualmente. Este enfoque no es práctico, especialmente dado el número de scripts utilizados por las empresas hoy. En cambio, las empresas deben adoptar soluciones automatizadas para el monitoreo continuo. La automatización garantiza una detección de problemas más rápida y una respuesta más eficiente, cumpliendo así los estándares de cumplimiento mientras se mantiene los datos del cliente.

Más allá del cumplimiento: medidas proactivas

Si bien lograr el cumplimiento de PCI DSS V4.0 es un hito clave, las empresas deben asegurar aún más su ecosistema de pago. Algunas acciones a considerar incluyen:

PCI DSS 4.0
  • Definir reglas de acceso específicas de script para limitar o permitir el acceso a campos confidenciales en función de las necesidades comerciales. Por ejemplo, los scripts que pueden bloquear el acceso a los detalles del pago al tiempo que permiten el acceso limitado a datos no sensibles.
  • Implemente políticas de seguridad específicas de dominio que se adapten dinámicamente a las acciones del usuario, como el estado de inicio de sesión o la sensibilidad de los datos que se procesan.
  • Adopte los controles de comportamiento para limitar las capacidades de etiqueta de terceros y evitar el acceso no autorizado o la fuga de datos.
  • Use herramientas de amenaza en tiempo real para detectar y bloquear la actividad maliciosa. Esto lo protegerá de amenazas avanzadas como ataques de magecart, llaves y secuestro de credenciales.

Construir un futuro seguro

31 de marzo de 2025, la fecha límite de cumplimiento es un momento crítico en la industria de los pagos. Sin embargo, para mantenerse a la vanguardia de las amenazas cibernéticas y proporcionar una experiencia de pago segura y sin problemas, las empresas deben tomar pasos adicionales más allá de los estándares de referencia de PCI DSS versión 4.

Los supervisores de pago deben adoptar políticas de protección del cliente para asegurar completamente su ecosistema digital. Al implementar soluciones que proporcionen control, visibilidad y amenazas proactivas en tiempo real, las empresas pueden proteger los datos confidenciales de los clientes, mantener el cumplimiento y mantener su reputación en un mundo cada vez más digital.

Sobre el autor

Rui Ribeiro

Rui Ribeiro Es CEO y cofundador jscrambler. uno
Empresario e innovador, dirige la compañía
Inicio del líder de seguridad de aplicaciones web del cliente.
Es coautor de varias patentes de seguridad de aplicaciones
Y interesados ​​en ayudar a las empresas a innovar rápidamente
También sepa que sus aplicaciones son seguras.

Noticias de pago recientes:

5 áreas de FIS, de las cuales FIS pierde el 50% de sus ganancias

Photo of Mary Mary Send an email February 5, 2025
0 0 4 minutes read
Photo of Mary

Mary

Related Articles

El estudio del FMI destaca los beneficios de la interoperabilidad

El estudio del FMI destaca los beneficios de la interoperabilidad

20 hours ago
Kraken supera la criptomoneda con la aplicación P2P

Kraken supera la criptomoneda con la aplicación P2P

22 hours ago
PayPal ingresa al mundo de los deportes universitarios

PayPal ingresa al mundo de los deportes universitarios

2 days ago
A pesar de los problemas de violación de datos

A pesar de los problemas de violación de datos

2 days ago

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button