De scripts op uw afrekenpagina zijn nu een PCI DSS-probleem

Cyberbeveiliging
De scripts op uw afrekenpagina zijn nu een PCI DSS-probleem

Een onafhankelijke PCI-beoordelaar heeft Reflectiz getoetst aan de nieuwe PCI DSS-regels. Hier is het oordeel: Bekijk hier de volledige QSA-beoordeling →

Wanneer een klant zijn kaartnummer intypt bij het afrekenen, gebruikt zijn browser veel meer dan alleen uw code. Analytics-tags, een tagmanager, een ondersteuningswidget, een betalings-iframe: een moderne kassa laadt tientallen scripts van derden, en elk daarvan kan in een skimmer worden veranderd.

Dit is hoe Magecart werkt. Sansec heeft meer dan 100.000 sites geteld die getroffen zijn door webskimming en supply chain-aanvallen. Alleen al de inbreuk op British Airways in 2018 bracht 380.000 transacties en een boete aan het licht die begon op £183 miljoen.

Het gevaarlijke deel: de kwaadaardige code komt meestal binnen via een script dat je al hebt goedgekeurd. Aanvallers compromitteren een externe leverancier en de lading komt binnen op een script dat je maandenlang hebt uitgevoerd. Niets ziet er nieuw uit. Wat veranderd is, is het gedrag van het script, niet de aanwezigheid ervan op de pagina.

PCI DSS v4.0.1 dicht deze kloof met twee vereisten, die nu volledig van kracht zijn. 6.4.3 zegt dat hij elk script voor een betalingspagina moet inventariseren, autoriseren en de integriteit ervan moet bewijzen. 11.6.1 zegt dat het knoeien met pagina-inhoud en HTTP-headers detecteert wanneer de browser deze ontvangt. Met de hand gedaan, via honderden scripts die voortdurend veranderen, schaalt dit niet. Uit gegevens van Reflectiz blijkt dat ongeveer 30% van de scripts op betaalpagina’s binnen een periode van twee weken verandert.

Wat de QSA heeft gevonden

Integrity360 Europe, een PCI Qualified Security Assessor en lid van de PCI SSC Global Executive Assessor Roundtable, beoordeelde het Reflectiz PCI DSS Platform op beide vereisten en ontdekte dat het compliance effectief kan ondersteunen. Drie dingen vielen op:

  • Het kijkt naar gedrag, niet alleen naar bestandshashes. Bij een hash-check wordt een stille ruil aan de leverancierszijde gemist. Reflectiz vangt het script op zodra het naar kaartgegevens begint te zoeken.
  • Het wordt agentloos ingezet. Geen codewijzigingen, geen fragmenten, binnen enkele dagen live, en het blijft werken via refactoren en CMS-migraties.
  • Het produceert met één klik QSA-ready bewijsmateriaal. Volledige audittrail per pagina, klaar voor beoordeling.

De SAQ Een vangst

Sinds januari 2025 kunnen verkopers 6.4.3 en 11.6.1 alleen van SAQ A verwijderen als ze bevestigen dat hun site niet vatbaar is voor scriptaanvallen. Volledige doorverwijzing naar uw verwerker? Het gaat waarschijnlijk goed met je. Een betalings-iframe insluiten? Een script op de bovenliggende pagina kan de kassa nog steeds kapen voordat de gegevens het beveiligde frame bereiken, en u moet bewijzen dat dit niet mogelijk is. PCI SSC FAQ #1588 verwijst rechtstreeks terug naar dezelfde bedieningselementen.

Ontvang de volledige beoordeling

Het volledige Witboek Integrity360 Europe geeft een overzicht van beide vereisten, de monitoringworkflow en precies wat SAQ A nu van iframe-verkopers vraagt.

Download het whitepaper →

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Crypto Clipper-campagne maakt misbruik van valse recensies, AI-vertellers en VirusTotal-reacties

Verweesde AI-agenten: hoe u verborgen toegangsrisico’s binnen uw netwerk kunt vinden

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]