Het PCI DSS-landschap verandert snel. Nu de deadline van Q1 2025 steeds dichterbij komt, moeten bedrijven zich haasten om te voldoen aan de strenge nieuwe vereisten van PCI DSS v4.0. Twee secties in het bijzonder, 6.4.3 en 11.6.1, zijn lastig omdat ze vereisen dat organisaties betalingspaginascripts nauwgezet monitoren en beheren en een robuust mechanisme voor het detecteren van wijzigingen gebruiken. Nu de deadline snel nadert en de gevolgen van niet-naleving zo ernstig zijn, is er geen ruimte voor zelfgenoegzaamheid. Daarom kijken we in dit artikel naar de beste manier om aan deze complexe coderingsvereisten te voldoen.
PCI DSS v4: Begrip van vereisten 6.4.3 en 11.6.1
Deze wijzigingen in PCI DSS in v4.0 erkennen de dringende noodzaak om de beveiliging aan de clientzijde te verscherpen in het licht van alomtegenwoordige bedreigingen in de toeleveringsketen. Ze roepen op tot een verbeterde beveiliging van de betaalpagina om de gevoelige betalingsgegevens van klanten te beschermen tegen kwaadaardige scriptinjectieaanvallen:
- 6.4.3: Om aan deze vereiste te voldoen, moet uw organisatie alle scripts op de betaalpagina die in de browser van de consument worden uitgevoerd, controleren en beheren. Dit omvat het garanderen dat scripts geautoriseerd zijn, dat hun integriteit behouden blijft en dat u een inventaris bijhoudt waarin elk script wordt vermeld met schriftelijke rechtvaardigingen voor hun opname.
- 11.6.1: Deze vereiste richt zich op het detecteren van scriptwijzigingen en het voorkomen van manipulatie, dus organisaties moeten een mechanisme implementeren om ongeautoriseerde wijzigingen in de beveiligingskritieke HTTP-headers en scripts die op betaalpagina’s worden gebruikt, snel te detecteren. Dit zal helpen om kwaadaardige code-injectie en andere aanvallen die gericht zijn op betalingsgegevens te voorkomen.
Een eigen PCI-dashboard
Reflectiz was zich ervan bewust dat traditionele PCI-nalevingsmethoden vaak tijdrovend en resource-intensief kunnen zijn, dus creëerden ze een speciaal PCI-dashboard dat ze met een minimum aan gedoe genereert. Het biedt realtime, extern inzicht in uw online ecosysteem, met monitoring op scriptniveau en geen behoefte aan on-site resources, dus naleving is ingebakken en nalevingsrapportage is heel eenvoudig, omdat het een natuurlijk bijproduct is van wat de oplossing al doet.
Krijg toegang tot een gratis PCI Dashboard van 30 dagen.
Vereenvoudig naleving met slimme goedkeuringen
Het slimme goedkeuringsmechanisme van Reflectiz bespaart ook tijd. In plaats van elk script handmatig goed te keuren en te rechtvaardigen, kunt u eenvoudig acceptabele scriptgedragingen definiëren en het systeem vervolgens automatisch batchgewijs de scripts laten goedkeuren die hieraan voldoen.
U kunt nog steeds individuele scriptwijzigingen goedkeuren en rechtvaardigen indien nodig, maar de optie om het goedkeuringsproces te stroomlijnen door acceptabel scriptgedrag op deze manier te definiëren, is een bevrijdende extra functie. Het strekt zich ook uit tot het beheren van goedkeuringen voor websites met meerdere betaalpagina’s, wat nog beter is.
Samenvattend:
- Goedkeuringen van scripts: Keur eenvoudig individuele scriptwijzigingen goed en rechtvaardig ze om te voldoen aan de vereisten 6.4.3 en 11.6.1.
- Slim goedkeuringsmechanisme: Stroomlijn het goedkeuringsproces door acceptabel scriptgedrag te definiëren.
- Beheer van meerdere betalingspagina’s: Beheer efficiënt goedkeuringen voor websites met meerdere betaalpagina’s.
De voordelen van het gebruik van het PCI-dashboard van Reflectiz worden al snel duidelijk.
- Tijdsbesparing: Automatiseer handmatige processen, zodat uw team zich kan richten op de kernactiviteiten van het bedrijf.Onlangs heeft Reflectiz de hoeveelheid werk voor een van haar klanten met 95%(!) verminderd. Zie onderstaande casestudy.
- Kostenreductie: Verminder de overheadkosten die gepaard gaan met nalevingsinspanningen, inclusief personeel en middelen.
- Verminderd risico op non-compliance: Blijf op de hoogte van de PCI DSS-vereisten en minimaliseer het risico op kostbare boetes en reputatieschade.
Het gebruik van beveiligingsoplossingen die afhankelijk zijn van ingebedde JavaScript kan meer kwetsbaarheden toevoegen (waaronder de top tien kwetsbaarheden van OWASP) dan ze oplossen, zoals het blussen van branden met benzine. Reflectiz werkt op afstand, wat het een ononderbroken zicht geeft op elk script op de pagina zonder kans op inbreuk en zonder extra kwetsbaarheden die worden toegevoegd. De laatste plek waar u JavaScript-kwetsbaarheden zou moeten introduceren, is een betaalpagina, dus Reflectiz neemt de veel veiligere en effectievere route naar PCI-naleving door ze op afstand te bewaken.
Krijg toegang tot uw gratis PCI Dashboard van 30 dagen.
Waarom Reflectiz voor externe monitoring koos in plaats van ingebedde scripts
Ingebouwde beveiligingsscripts brengen belangrijke nadelen met zich mee:
- Privacyzorgen: Ze hebben toegang tot uw bedrijfs- en gebruikersgegevens, wat een voortdurende belasting vormt voor uw nalevingsinspanningen.
- Beperkte zichtbaarheid: Ze kunnen geen kritische gebieden zoals iFrames, gebruikerskaping en tracking cookies monitoren. Deze zijn onzichtbaar voor hen.
- Prestatie-impact: Ze vertragen websites en vereisen voortdurende updates.
- Veiligheidsrisico’s: Ze zijn kwetsbaar voor aanvallen en vergroten het aanvalsoppervlak.
De aanpak van Reflectiz voor externe monitoring overwint deze uitdagingen door uitgebreid, veilig en efficiënt toezicht te bieden op webcomponenten.
Stuart Golding, een vooraanstaand PCI DSS Qualified Security Assessor, is van mening dat dit de juiste aanpak is: “Persoonlijk geef ik de voorkeur aan oplossingen die het minst ingrijpend zijn, zowel qua kosten als implementatie. Deze oplossingen vereisen doorgaans minimale ontwikkeling of wijzigingen aan de webpagina van de organisatie, wat zorgt voor snelle implementatie en resultaten.”
Casestudy: een groot Amerikaans verzekeringsbedrijf
Uitdaging: Een groot Amerikaans verzekeringsbedrijf moest voldoen aan de nieuwe PCI DSS v4.0-vereisten, met name 6.4.3 en 11.6.1, die, zoals we hebben opgemerkt, strenge controle en beheer van betalingspaginascripts voorschrijven. Het bedrijf had:
- 2 betaalpagina’s
- Ongeveer 60 scripts verspreid over beide pagina’s
Oplossing:Het bedrijf implementeerde het PCI-dashboard van Reflectiz om de scriptbewaking en -goedkeuring gedurende een periode van twee weken te stroomlijnen.
Resultaten:
Storing:
Belangrijkste punten:
- Reflectiz identificeerde een aanzienlijk aantal scriptwijzigingen (30% in slechts twee weken), wat de noodzaak van voortdurende monitoring onderstreept.
- Door deze gegevens op een grotere schaal (8 betaalpagina’s) te projecteren, kan Reflectiz het bedrijf mogelijk de wekelijkse controle en goedkeuring van 40 scripts besparen.
- Door goedkeuringen te automatiseren en handmatige inspanningen te minimaliseren, vermindert Reflectiz het risico op menselijke fouten en stroomlijnt het het nalevingsproces. Dit vertaalt zich in aanzienlijke kostenbesparingen en een soepeler pad naar het passeren van PCI-audits.
Deze casestudy toont de efficiëntie en effectiviteit van Reflectiz bij het beheren van scriptwijzigingen en het waarborgen van PCI DSS-naleving.
Verder dan PCI-naleving
PCI-naleving is slechts één aspect van de uitgebreide set webbeveiligingsfuncties van Reflectiz. Door webcomponenten van derden te monitoren, gegevenstoegang tot betalings- en creditcardgegevens bij te houden en een volledige inventaris van scripts van derden en vierde partijen bij te houden, helpt Reflectiz organisaties PCI DSS v4.0-naleving te bereiken en te behouden, terwijl hun algehele webbeveiligingshouding wordt versterkt.
Krijg toegang tot uw gratis PCI Dashboard van 30 dagen.