Wat PCI DSS V4 echt betekent – lessen van A&F Compliance Journey

Cyberbeveiliging
Wat PCI DSS V4 echt betekent - lessen van A&F Compliance Journey

Keer hier toegang op on-demand webinar

Vermijd een nalevingsramp van $ 100.000/maand

31 maart 2025: De klok tikt. Wat als een enkel over het hoofd gezien script uw ​​bedrijf $ 100.000 per maand aan niet-naleving van boetes zou kunnen kosten? PCI DSS V4 komt eraan en bedrijven die betalingskaartgegevens afhandelen, moeten worden opgesteld.

Naast boetes legt niet-naleving bedrijven bloot aan web-skimming, scriptaanvallen van derden en opkomende browsergebaseerde bedreigingen.

Dus, hoe maak je je op tijd klaar?

Reflectiz ging zitten met Abercrombie & Fitch (A&F), voor een discussie over de moeilijkste PCI DSS V4-uitdagingen.

Kevin Heffernan, directeur risico’s bij A&F, deelde bruikbare inzichten over:

  • Wat werkte (en $$$ bespaarde)
  • Wat niet (en kost tijd en middelen)
  • Wat ze wensen dat ze eerder hadden geweten

Bekijk nu het volledige PCI DSS V4 -webinar

(Gratis on-demand toegang-leer van A&F’s Compliance Experts)

Wat verandert er in PCI DSS v4.0.1?

PCI DSS V4 introduceert strengere beveiligingsstandaarden-vooral voor scripts van derden, browserbeveiliging en continue monitoring. Twee van de grootste uitdagingen voor online handelaren zijn vereisten 6.4.3 en 11.6.1.

Vereiste 6.4.3 – Betalingspagina Script Beveiliging

De meeste bedrijven vertrouwen op scripts van derden voor het afrekenen, analyses, livechat en fraudedetectie. Maar aanvallers exploiteren deze scripts om kwaadaardige code te injecteren in betalingspagina’s (aanvallen in magecart-stijl).

Nieuwe PCI DSS V4 -mandaten:

Scriptinventaris – Elk script dat in de browser van een gebruiker wordt geladen, moet worden vastgelegd en gerechtvaardigd.

Integriteitscontroles – Bedrijven moeten de integriteit van alle scripts voor betalingspagina’s verifiëren.

Autorisatie – Alleen goedgekeurde scripts mogen uitvoeren op betaalpagina’s.

Hoe A & F het aanpakte:

  • Voer scriptaudits uit om onnodige of risicovolle afhankelijkheden van derden te identificeren.
  • Gebruikte contentbeveiligingsbeleid (CSP) om scripts van derden te beperken.
  • Gebruikte slimme geautomatiseerde goedkeuringen om tijd en geld te besparen.

Vereiste 11.6.1 – Verandering en knabbelende detectie

Zelfs als uw scripts vandaag veilig zijn, kunnen aanvallers later kwaadaardige veranderingen injecteren.

Nieuwe PCI DSS V4 -mandaten:

Mechanisme – Continu Change and Sabtor Detection -mechanisme implementatie voor betalingspagina -scriptwijzigingen.

Ongeautoriseerde wijzigingen – HTTP -headerbewaking om ongeautoriseerde wijzigingen te detecteren.

Integriteit – Wekelijkse integriteitscontroles (of vaker gebaseerd op risiconiveaus en indicatoren van compromis).

Hoe A & F het aanpakte:

  • Ingezette continue monitoring om ongeautoriseerde wijzigingen te detecteren.
  • Gebruikte beveiligingsinformatie en Event Management (SIEM) voor gecentraliseerde monitoring.
  • Geautomatiseerde waarschuwingen en batch-goedkeuring gemaakt voor script-, structuur- en headerwijzigingen op betaalpagina’s.

Probeer het reflectiz PCI Dashboard-gratis proefperiode van 30 dagen

Recente update: de SAQ A Vrijstelling verduidelijking

Een recente verduidelijking van de PCI-raad stelt het volgende met betrekking tot SAQ A Marchants (zelfevaluatievragenlijst):

  1. In aanmerking komende vereiste: Kooplieden moeten bevestigen dat hun site niet vatbaar is voor scriptaanvallen die e-commerce-systemen beïnvloeden.
  2. Nalevingsopties:
    • Implementeer beschermingstechnieken (zoals die in PCI DSS -vereisten 6.4.3 en 11.6.1) direct of via een derde partij
    • Of ontvang bevestiging van PCI DSS-conforme serviceproviders dat hun ingebedde betalingsoplossing de bescherming tegen scriptaanval omvat
  3. Beperkte toepasbaarheid: De criteria zijn alleen van toepassing op verkopers met behulp van ingebedde betalingspagina’s/-formulieren (bijv. IFRAMES) van serviceproviders van derden.
  4. Vrijstellingen: Handelaars die klanten omleiden naar betalingsverwerkers of volledig uitbesteden betalingsfuncties zijn niet onderworpen aan deze vereiste.
  5. Aanbevelingen: Handelaars moeten hun serviceproviders overleggen over een veilige implementatie en met hun acquirer verifiëren dat SAQ A geschikt is voor hun omgeving.

Merk op dat zelfs als u in aanmerking komt voor SAQ A, uw hele website nog steeds moet worden beveiligd. Veel bedrijven hebben nog steeds realtime monitoring en meldingen nodig, waardoor volledige nalevingsoplossingen relevant zijn.

A & F’s Top 3 PCI DSS V4 -valkuilen (en hoe ze te vermijden)

Met meerdere betalingspagina’s om over de hele wereld te beveiligen, was Abercrombie en Fitch’s compliance -reis complex. Kevin Heffernan, directeur risico, heeft drie belangrijke fouten gesuggereerd die online handelaren vaak maken.

Fout #1: Alleen vertrouwen op CSP

Hoewel Content Security Policy (CSP) helpt bij het voorkomen van scriptgebaseerde aanvallen, omvat dit geen dynamische veranderingen in scripts of externe bronnen. PCI DSS vereist extra integriteitsverificatie.

Fout #2: Leveranciers van derden negeren

De meeste retailers vertrouwen op externe betaalgateways, chatwidgets en trackingscripts. Als deze leveranciers niet voldoen, ben je nog steeds verantwoordelijk. Controleer regelmatig integraties van derden.

Fout #3: Naleving behandelen als een eenmalige oplossing

PCI DSS V4 mandeert doorlopende monitoring – wat betekent dat u niet alleen scripts kunt controleren en het niet vergeten. Continue monitoringoplossingen zullen van cruciaal belang zijn voor naleving.

Probeer het Reflectiz PCI-dashboard voor 30 dagen vrij proces.

Laatste afhaalrestaurants van A&F’s PCI Compliance Journey

  • Risicobeoordeling eerst – Identificeer en kaart in kaart brengen van kwetsbaarheden, supply chain -risico’s en misfiguraties van componenten voordat ze in nalevingswijzigingen springen.
  • Beveilig uw betalingspagina -scripts – Configureer strikte HTTP -beveiligingskoppen, zoals CSP.
  • Controleer continu – Gebruik continue monitoring-, SIEM- en sabotagedetectiewaarschuwingen om wijzigingen te vangen voordat aanvallers ze exploiteren.
  • Ga er niet vanuit dat leveranciers u hebben gedekt -Audit van scripts en integraties van derden-de verantwoordelijkheid van de naleving stopt niet bij uw firewall.

De deadline van 31 maart 2025 komt dichterbij dan u denkt

Wachten te lang om te beginnen creëert beveiligingskloven en riskeert kostbare boetes. De ervaring van A&F laat zien waarom Vroege voorbereiding is van cruciaal belang.

➡ Vermijd kostbare PCI -boetes – Bekijk nu het PCI DSS V4 -webinar Om te leren hoe een grote wereldwijde retailer naleving heeft aangepakt – en wat u vandaag kunt doen Vermijd boetes en beveiligingsrisico’s.

Probeer het Reflectiz PCI-dashboard voor 30 dagen vrij proces.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De nieuwste update van Google is het laten klinken van pixel -telefoontrillingen holle

Naar verluidt heeft Amazon een nieuwe groep opgezet om Agentic AI te ontwikkelen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]