LinkedIn Tag
PCI Shield

Pasa PCI 4.0.1 Mientras Proteges a tus Usuarios

Las CSP, agentes JS y rastreadores pueden marcar la casilla de cumplimiento pero no protegen verdaderamente a los usuarios. Ve cómo VikingCloud validó nuestra solución PCI DSS.

Por Qué Importa PCI DSS v4.0.1

Los ataques de skimming y formjacking están creciendo rápidamente. Atacan los scripts en los navegadores de tus clientes, no tus servidores

6.4.3 y 11.6.1 ahora exigen un inventario de scripts, monitoreo en tiempo real y alertas para cambios no autorizados.

Las CSP, rastreadores y agentes pueden marcar la casilla de cumplimiento, pero los atacantes pasan fácilmente junto a ellos.

CON CSIDE
Reduce el tiempo de preparación de auditorías con informes PDF semanales
Monitorea scripts en páginas de pago con cobertura del 100% para 6.4.3
Las verificaciones continuas de encabezados cumplen con 11.6.1 sin quemar recursos de TI
Protege a los usuarios de e-skimming, ataques Magecart y otros ataques del lado del cliente

Cómo Funciona PCI Shield

Ilustración que muestra inventario completo de scripts y panel de monitoreo
Inventario de Scripts Visibilidad completa de scripts en todas las páginas (incluidas las páginas de pago para 6.4.3)
Ilustración que muestra detección de cambios en tiempo real y alertas de seguridad
Detección de Manipulación Alertas instantáneas para cambios no autorizados (11.6.1) y modificaciones de scripts
Ilustración que muestra interfaz de bloqueo de scripts y prevención de amenazas
Seguridad de Scripts Visibilidad de la ejecución de código con bloqueo incorporado para scripts maliciosos
Ilustración que muestra panel de informes de cumplimiento automatizados
Informes Semanales Informes de cumplimiento automatizados en tu bandeja de entrada.

Elige Tu Enfoque de Seguridad

cside ya no es solo un Gatekeeper. Selecciona el modo que mejor se adapte a tus necesidades de seguridad y requisitos técnicos.

Modo Directo

Más Fácil

Me importa la seguridad del lado del cliente y necesito algo que sea fácil de explicar al resto del equipo.

Verificamos comportamientos de scripts en el navegador y obtenemos los scripts de nuestro lado. No nos colocamos en el camino de un script a menos que nos lo pidas explícitamente.

Pros

  • Más fácil de implementar
  • Sin impacto en el rendimiento
  • Capacidad de detener acciones de scripts o bloquear por URL, hash o dominio

Cons

  • No siempre garantiza verificar la misma carga útil del script que obtuvo el usuario - pero está cerca
  • Sin ganancias de rendimiento en scripts estáticos u optimizables

Implementation

  • Agrega nuestro script a tu sitio web
  • Aún posible colocar cside entre scripts no confiables y el usuario final

Operating Model: Permitir que el script se sirva directamente para scripts en los que confío, los scripts en los que no confío obtienen el tratamiento de seguridad completo.

Modo Guardián

Más Seguro

Soy un objetivo de alto valor y necesito control de seguridad completo.

Verificamos comportamientos de scripts y cside se coloca en el medio entre el tercero no controlado y el usuario final - solo scripts que no nos dijiste que no nos coloquemos en el medio.

Pros

  • Visibilidad completa
  • Control completo
  • Aumento de rendimiento en algunos scripts
  • Sabemos que lo que el usuario obtuvo es lo que verificamos

Cons

  • Difícil de explicar a tus colegas
  • En scripts altamente dinámicos se puede agregar latencia

Implementation

  • Agrega nuestro script a tu sitio
  • Marca scripts en los que confías y que no necesitan que cside los sirva. Por defecto, no hacemos proxy de algunos scripts que son incompatibles con ser servidos desde una URL diferente

Operating Model: Todos los scripts pasan por cside excepto algunos.

Modo Escaneo

Más Rápido

No tengo la capacidad de agregar un script al sitio web.

Inteligencia de amenazas de cside recopilada por miles de otros sitios web con miles de millones de visitantes combinados.

Pros

  • Económico
  • Rápido y fácil de configurar

Cons

  • Los ataques del lado del cliente son dinámicos, un escaneo estático está diseñado para ser menos probable que detecte un ataque
  • Un ataque altamente dirigido podría tener éxito al evitar la detección

Implementation

  • No se requiere instalación de script
  • Aprovecha la inteligencia colectiva de amenazas

Operating Model: Escaneo estático impulsado por inteligencia de amenazas de nuestra red.

Por Qué Lo Abordamos de Esta Manera

A diferencia de los sistemas operativos modernos, los navegadores no tienen soporte nativo para proveedores de seguridad de terceros. CSP y SRI solo cubren parte del problema, así que tuvimos que ser creativos. La mayoría de las detecciones del lado del cliente usando JavaScript en el navegador son fáciles de hacer ingeniería inversa y eludir. Desafortunadamente, las detecciones del lado del cliente demasiado estrictas podrían romper algunas bibliotecas del lado del cliente. Lo que esencialmente hace un script de seguridad del lado del cliente es envolver APIs que pueden ser utilizadas por malos actores y monitorear qué scripts las usan. El problema es que no todos los scripts funcionan bien con eso. Por esa razón, hemos tomado un enfoque mucho más elaborado para los usuarios más conscientes de la seguridad. Al combinar las detecciones en el navegador con detecciones en nuestro propio motor usando nuestro motor de control de acceso propietario, creamos un escenario equilibrado del mejor de todos los mundos. Equilibrando capacidad de detección con facilidad de uso con resistencia y, en última instancia, dando al cliente la capacidad de elegir el enfoque.

Diseñado para Equipos que Enfrentan Desafíos PCI

eCommerce

protege cada checkout y mantiene excelentes relaciones con adquirentes.

Proveedores de Servicios de Pago

ofrece seguridad compatible y de valor agregado a miles de comerciantes.

Aerolíneas y Tránsito

Los flujos de reserva complejos y los boletos de alto valor aumentan el riesgo de ataque.

Hospitalidad

Las tarjetas de crédito usadas para viajes son objetivos principales debido a límites más altos.
ascii art background

PCI Compliance 4.0.1: Unraveling E-Skimming, Script Security, and PCI DSS Compliance

Watch the complete discussion between cside and VikingCloud experts covering the latest PCI DSS 4.0.1 requirements, e-skimming prevention strategies, and practical implementation guidance for requirements 6.4.3 and 11.6.1.

Recorded: January 25, 2025
Duration: 58:42
2,156 views

Expert Speakers

Simon Wijckmans
Simon Wijckmans
CEO
cside
Alexander Norell
Alexander Norell
Global Security Architect
VikingCloud
Watch Full Recording
58:42
2,156 professionals have watched
Watch Full Session

Topics

In-depth analysis of PCI DSS 4.0.1 requirements 6.4.3 & 11.6.1
Exploration of e-skimming attack vectors and prevention strategies
Guidance on script inventory and authorization processes
Real-world insights into compliance implementation
POWERED BY
vendor logo
vendor logo

Por Qué cside Supera las Alternativas

Nuestro Gatekeeper ofrece ventajas que las herramientas tradicionales no pueden igualar.

vs. Soluciones Basadas en Rastreadores
vs. Content-Security Policy (CSP)
vs. Agentes del Lado del Cliente
Ve comportamiento real de usuarios, no vistas de rastreadores sanitizadas Monitorea cargas útiles de scripts, no solo fuentes Monitoreo indetectable que los atacantes no pueden eludir
Captura ataques dirigidos a segmentos específicos Detecta violaciones en proveedores de terceros confiables Seguimiento completo del comportamiento histórico de scripts
Detecta amenazas entre escaneos periódicos Maneja scripts dinámicos que las CSPs no pueden controlar A prueba de futuro contra técnicas en evolución
Con un Enfoque de Proxy Híbrido
Visibilidad completa de scripts: Sabemos exactamente lo que ve el usuario final.
Respuesta inmediata a amenazas: No esperamos escaneos periódicos.
Seguimiento histórico: Rastreamos cambios a lo largo del tiempo para mejores conocimientos de seguridad.
Elección script por script de modo proxy completo o solo captura.
Sin impacto en el rendimiento: Aseguramos un SLA del 99.99% con un diseño fail-open.
CONTACTANOS

Por Qué los QSAs Líderes Prefieren cside

SOLO CSIDE OFRECE
Un panel específico para PCI que facilita reportar sobre 6.4.3 y 11.6.1
Inspección de carga útil en tiempo real antes de que llegue al navegador
Detección de amenazas a nivel DOM, basada en tiempo y dinámica
Tu socio en seguridad web

Estamos a un mensaje de distancia

Como tu socio en seguridad web, queremos que puedas contactarnos fácilmente. Cada cliente obtiene acceso 1:1 a nuestro equipo a través de Slack y Microsoft Teams. Respondemos en minutos, ya sea que tengas una solicitud de funcionalidad, preguntas o ideas.

Canal compartido de Slack o Microsoft Teams para cada cliente
Acceso directo a nuestros expertos en seguridad
Soporte conversacional fácil
Tiempos de respuesta en minutos, no días

FAQ

Preguntas Frecuentes

Ver todas las preguntas frecuentes

El requisito 6.4.3 se centra en la gestión de scripts de páginas de pago, requiriendo que autorices cada script, asegures la integridad de scripts y mantengas un inventario completo con justificación escrita de la necesidad de cada script. El requisito 11.6.1 exige monitoreo continuo para detectar cambios no autorizados en encabezados HTTP y contenido de páginas de pago, con alertas enviadas al personal y evaluaciones realizadas al menos semanalmente.

PCI DSS 4.0.1 es la última versión del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago que protege los datos del titular de la tarjeta a través de estrictos requisitos de monitoreo de seguridad. Si tu negocio procesa, almacena o transmite información de tarjetas de crédito, debes cumplir con estas regulaciones para evitar multas cuantiosas, tasas de seguro más altas y posible interrupción del negocio. El estándar se aplica a todos los comerciantes, procesadores, adquirentes y proveedores de servicios que manejan datos de tarjetas de pago. El incumplimiento puede resultar en multas que van desde miles hasta millones de dólares, dependiendo de tu volumen de transacciones y la gravedad de cualquier violación.

El requisito PCI DSS 6.4.3 requiere monitoreo activo y constante, mientras que 11.6.1 requiere que el monitoreo ocurra al menos una vez cada siete días, o con la frecuencia definida en el análisis de riesgos dirigido de tu organización. Sin embargo, dado que los ciberataques ocurren en tiempo real y los scripts maliciosos pueden inyectarse en cualquier momento, el monitoreo continuo (en tiempo real) proporciona la mejor protección.

Las penalizaciones por incumplimiento varían según tu procesador de pagos y volumen de transacciones, pero las multas generalmente van desde $5,000 hasta $500,000 por incidente. Más allá de las multas, puedes enfrentar tarifas de transacción aumentadas, primas de seguro más altas, pérdida de privilegios de procesamiento de pagos y costos significativos por remediación de violación de datos y demandas. El costo promedio de una violación de datos de tarjetas de pago supera los $4 millones al tener en cuenta investigaciones forenses, honorarios legales, notificación al cliente e interrupción del negocio.

Durante una auditoría PCI DSS, los evaluadores de seguridad calificados revisarán tu documentación de cumplimiento, probarán tus controles de seguridad y verificarán que estés cumpliendo con todos los requisitos aplicables. Para los requisitos 6.4.3 y 11.6.1, los auditores examinarán tu inventario de scripts, revisarán la documentación de autorización, probarán tus sistemas de monitoreo y verificarán que estés detectando cambios no autorizados. Tener monitoreo automatizado con cside significa que tu documentación de cumplimiento está siempre actualizada y lista para auditoría, con registros detallados, informes semanales y evidencia clara de monitoreo continuo que los auditores pueden revisar y validar fácilmente.

Las soluciones basadas en proxy proporcionan la protección más completa porque interceptan y analizan cada solicitud de script en tiempo real, en lugar de solo escanear periódicamente o depender de detección basada en navegador que los atacantes pueden eludir. El enfoque proxy de cside asegura visibilidad completa del comportamiento del script, capacidades de bloqueo de amenazas inmediatas e informes de cumplimiento precisos que capturan todas las variaciones de scripts. Este método ha sido auditado y aprobado de forma independiente por Viking Cloud, dándote confianza de que tu estrategia de cumplimiento cumple con los más altos estándares de la industria mientras proporciona protección de seguridad superior.