Prueba con "investigadoras"
Tecnología
Aactualidad Mundial
spot_img

Lo que realmente significa PCI DSS V4: lecciones del viaje de cumplimiento de A&F

Lo que realmente significa PCI DSS V4: lecciones del viaje de cumplimiento de A&F

Acceda al seminario web a pedido aquí

Evite un desastre de cumplimiento de $ 100,000/mes

31 de marzo de 2025: El reloj está marcando. ¿Qué pasaría si un solo script pasado por alto pudiera costarle a su negocio $ 100,000 por mes en multas por incumplimiento? Se avecina PCI DSS V4, y las empresas que manejan los datos de la tarjeta de pago deben estar preparados.

Más allá de las multas, el incumplimiento expone a las empresas al descremado web, ataques de guiones de terceros y amenazas emergentes basadas en el navegador.

Entonces, ¿cómo te preparas a tiempo?

Reflectiz se sentó con Abercrombie & Fitch (A&F), para una discusión sin restricciones sobre los desafíos más difíciles de PCI DSS V4.

Kevin Heffernan, Director de Riesgo en A&F, compartió ideas procesables sobre:

  • Lo que funcionó (y ahorró $$$)
  • Lo que no lo hizo (y costará el tiempo y los recursos)
  • Lo que desearían haber sabido antes

Mira el seminario web PCI DSS V4 completo ahora

(Acceso gratuito a pedido: aprenda de los expertos en cumplimiento de A&F)

¿Qué está cambiando en PCI DSS V4.0.1?

PCI DSS V4 presenta estándares de seguridad más estrictos, especialmente para scripts de terceros, seguridad del navegador y monitoreo continuo. Dos de los mayores desafíos para los comerciantes en línea son los requisitos 6.4.3 y 11.6.1.

Requisito 6.4.3 – Seguridad del script de la página de pago

La mayoría de las empresas dependen de scripts de terceros para pagar, análisis, chat en vivo y detección de fraude. Pero los atacantes explotan estos scripts para inyectar código malicioso en páginas de pago (ataques de estilo Magecart).

Nuevos mandatos PCI DSS V4:

Inventario de script: cada script cargado en el navegador de un usuario debe registrarse y justificarse.

LEER  FBI advierte de UNC6040 y UNC6395 dirigido a las plataformas de Salesforce en ataques de robo de datos

Controles de integridad: las empresas deben verificar la integridad de todos los scripts de la página de pago.

Autorización: solo los scripts aprobados deben ejecutarse en las páginas de pago.

Cómo lo abordó A&F:

  • Realizó auditorías de script para identificar dependencias de terceros innecesarias o riesgosas.
  • Política de seguridad de contenido utilizada (CSP) para restringir los scripts de terceros.
  • Utilizó aprobaciones automatizadas inteligentes para ahorrar tiempo y dinero.

Requisito 11.6.1 – Detección de cambio y manipulación

Incluso si sus scripts están seguros hoy, los atacantes pueden inyectar cambios maliciosos más tarde.

Nuevos mandatos PCI DSS V4:

Mecanismo: cambio continuo y implementación de mecanismo de detección de manipulación para cambios en la guión de la página de pago.

Cambios no autorizados: monitoreo del encabezado HTTP para detectar modificaciones no autorizadas.

Integridad: controles de integridad semanales (o con mayor frecuencia en función de los niveles de riesgo e indicadores de compromiso).

Cómo lo abordó A&F:

  • Implementado monitoreo continuo para detectar modificaciones no autorizadas.
  • Utilizado información de seguridad y gestión de eventos (SIEM) para monitoreo centralizado.
  • Creó alertas automatizadas y aprobación por lotes para el script, la estructura y los cambios de encabezado en las páginas de pago.

Pruebe el tablero de reflexiones PCI-prueba gratuita de 30 días

Actualización reciente: la aclaración de exención SAQ

Una aclaración reciente del Consejo PCI establece lo siguiente con respecto a SAQ A Marchants (cuestionario de autoevaluación):

  1. Requisito de elegibilidad: Los comerciantes deben confirmar que su sitio no es susceptible a los ataques de guiones que afectan los sistemas de comercio electrónico.
  2. Opciones de cumplimiento:
    • Implementar técnicas de protección (como las de los requisitos de PCI DSS 6.4.3 y 11.6.1), ya sea directamente o a través de un tercero
    • U obtener la confirmación de los proveedores de servicios que cumplen con PCI DSS de que su solución de pago integrado incluye protección contra el ataque de scripts
  3. Aplicabilidad limitada: El criterio solo se aplica a los comerciantes que utilizan páginas/formularios de pago integrados (por ejemplo, iframes) de proveedores de servicios de terceros.
  4. Exenciones: Los comerciantes que redirigen a los clientes a los procesadores de pago o subcontratan completamente las funciones de pago no están sujetos a este requisito.
  5. Recomendaciones: Los comerciantes deben consultar con sus proveedores de servicios sobre la implementación segura y verificar con su adquirente que SAQ A es apropiado para su entorno.
LEER  Flaw de clic cero de Apple en mensajes explotados para espiar a periodistas usando Paragon Spyware

Tenga en cuenta que incluso si califica para SAQ A, todo su sitio web debe estar asegurado. Muchas empresas aún necesitarán monitoreo y alertas en tiempo real, lo que hace que las soluciones de cumplimiento completa sean relevantes independientemente.

Top 3 PCI DSS V4 de A&F (y cómo evitarlas)

Con múltiples páginas de pago para asegurarse en todo el mundo, el viaje de cumplimiento de Abercrombie y Fitch fue complejo. Kevin Heffernan, Director de Riesgo, ha sugerido tres errores principales que a menudo cometen los comerciantes en línea.

Error #1: confiar solo en CSP

Si bien la política de seguridad de contenido (CSP) ayuda a prevenir los ataques basados ​​en script, no cubre cambios dinámicos en scripts o recursos externos. PCI DSS requiere una verificación de integridad adicional.

Error #2: Ignorando a los proveedores de terceros

La mayoría de los minoristas dependen de las pasarelas de pago externas, los widgets de chat y los scripts de seguimiento. Si estos proveedores no cumplen, todavía eres responsable. Auditar regularmente las integraciones de terceros.

Error #3: Tratar el cumplimiento como una solución única

PCI DSS V4 exige el monitoreo continuo: significa que no puede simplemente auditar scripts una vez y olvidarse de ello. Las soluciones de monitoreo continuo serán críticas para el cumplimiento.

Pruebe el tablero de reflejo de reflejo para el juicio libre de 30 días.

Takeaways finales del viaje de cumplimiento de PCI de A&F

  • Evaluación de riesgos primero – Identificar y asignar vulnerabilidades, riesgos de la cadena de suministro y configuraciones erróneas de los componentes antes de saltar a los cambios de cumplimiento.
  • Asegure los scripts de su página de pago – Configurar encabezados de seguridad HTTP estrictos, como CSP.
  • Monitorear continuamente – Use alertas de detección continua de monitoreo continuo, SIEM y Detección de Tamper para las modificaciones de captura antes de que los atacantes las exploten.
  • No asuma que los vendedores lo tienen cubierto -Auditar scripts e integraciones de terceros: la responsabilidad de complemento no se detiene en su firewall.
LEER  Los droppers de Android ahora entregan robos de SMS y software de espía, no solo de los troyanos bancarios

La fecha límite del 31 de marzo de 2025 está más cerca de lo que piensas

Esperando demasiado tiempo para empezar Crea brechas de seguridad y riesgos multas costosas. La experiencia de A&F muestra por qué La preparación temprana es crítica.

➡ Evite las costosas multas PCI – Mira el seminario web PCI DSS V4 ahora para aprender cómo un minorista global importante abordó el cumplimiento, y qué puede hacer hoy Evite las multas y los riesgos de seguridad.

Pruebe el tablero de reflejo de reflejo para el juicio libre de 30 días.

spot_img
Artículo anterior
Índice ‘stock whisper’ de Benzinga: 5 acciones que los inversores supervisan en secreto pero aún no hablan de
Artículo siguiente
Polonia dice que dará entrenamiento militar a todos los hombres adultos.

En Actualidadmundial, nos apasiona informar con veracidad, precisión y rapidez. Nuestro objetivo es mantener a nuestra audiencia al día con los acontecimientos más relevantes a nivel global. Creemos que la información es una herramienta poderosa que permite tomar mejores decisiones y entender el mundo en constante evolución.

Últimas noticias

Temas

© 2025 Todos los derechos reservados | Desarrollado por Actualidadmundial