Les CSP, les agents JS et les robots d'indexation peuvent cocher la case « conformité », mais ils ne protègent pas réellement les utilisateurs. Découvrez comment VikingCloud a validé notrePCI DSS solution.
Les attaques par skimming et formjacking se multiplient rapidement. Elles ciblent les scripts dans les navigateurs de vos clients, et non vos serveurs.
Les sections 6.4.3 et 11.6.1 imposent désormais un inventaire des scripts, une surveillance en temps réel et des alertes en cas de modifications non autorisées.
Les CSP, les robots d'indexation et les agents peuvent cocher la case « conformité », mais les pirates les contournent facilement.
cside n'est plus seulement Gatekeeper. Sélectionnez le mode qui correspond le mieux à vos besoins en matière de sécurité et à vos exigences techniques.
Je me soucie de la sécurité côté client et j'ai besoin d'un outil facile à expliquer au reste de l'équipe.
Nous vérifions le comportement des scripts dans le navigateur et récupérons les scripts de notre côté. Nous ne nous plaçons pas dans le chemin d'un script, sauf si vous nous le demandez explicitement.
Operating Model: Autoriser le script à fonctionner directement pour les scripts auxquels je fais confiance, les scripts auxquels je ne fais pas confiance bénéficient d'un traitement de sécurité complet.
Je suis une cible de grande valeur et j'ai besoin d'un contrôle total de la sécurité.
Nous vérifions le comportement des scripts etcsidenous nous plaçons entre les tiers non contrôlés et l'utilisateur final - sauf pour les scripts pour lesquels vous nous avez demandé de ne pas nous interposer.
Operating Model: Tous les scripts passent,csidesauf certains.
Je n'ai pas la possibilité d'ajouter un script au site web.
cside informations sur les menaces recueillies par des milliers d'autres sites web totalisant des milliards de visiteurs.
Operating Model: Analyse statique alimentée par les informations sur les menaces provenant de notre réseau.
Contrairement aux systèmes d'exploitation modernes, les navigateurs ne prennent pas en charge nativement les fournisseurs de sécurité tiers.CSP et SRI ont leurs limites, nous devons donc faire preuve de créativité. La plupart des détections côté client utilisantJavaScript dans le navigateur sont faciles à rétroconcevoir et à contourner. Malheureusement, des détections côté client trop strictes peuvent endommager certaines bibliothèques côté client. Un script de sécurité côté client sert essentiellement à encapsuler les API pouvant être utilisées par des acteurs malveillants et à surveiller les scripts qui les utilisent. Le problème est que tous les scripts ne fonctionnent pas correctement avec cela. C'est pourquoi nous avons adopté une approche beaucoup plus élaborée pour les utilisateurs les plus soucieux de la sécurité. En combinant les détections dans le navigateur avec celles de notre propre moteur à l'aide de notre moteur de contrôle d'accès propriétaire, nous créons un scénario équilibré qui offre le meilleur de tous les mondes. Nous équilibrons la capacité de détection avec la facilité d'utilisation et la résilience, et donnons finalement au client la possibilité de choisir l'approche qui lui convient.
protéger chaque transaction et entretenir d'excellentes relations avec les acquéreurs.
offrir une sécurité conforme et à valeur ajoutée à des milliers de commerçants.
Les processus de réservation complexes et les billets à forte valeur ajoutée augmentent le risque d'attaque.
Les cartes de crédit utilisées pour les voyages sont des cibles privilégiées en raison de leurs limites plus élevées.
Watch the complete discussion between cside and VikingCloud experts covering the latest PCI DSS 4.0.1 requirements, e-skimming prevention strategies, and practical implementation guidance for requirements 6.4.3 and 11.6.1.
Gatekeeper offre des avantages que les outils traditionnels ne peuvent égaler.
| vs. Solutions basées sur des robots d'indexation | vs. Politique de sécurité du contenu (CSP) | vs. Agents côté client |
|---|---|---|
| Surveille les charges utiles des scripts, pas seulement les sources | Les attaquants ne peuvent pas contourner la surveillance indétectable | |
| Détecte les violations chez les fournisseurs tiers de confiance | Suivi complet du comportement historique des scripts | |
| Gère les scripts dynamiques que les CSP ne peuvent pas contrôler | À l'épreuve du temps face à l'évolution des techniques |
En tant que partenaire pour la sécurité web, nous voulons que vous puissiez nous joindre facilement. Chaque client bénéficie d’un accès 1:1 à notre équipe via Slack et Microsoft Teams. Nous répondons en quelques minutes, pas en quelques jours. Que ce soit pour une demande de fonctionnalité, des questions ou des idées.
FAQ
Foire aux questions
L'exigence 6.4.3 porte sur la gestion des scripts de la page de paiement. Elle vous oblige à autoriser chaque script, à garantir son intégrité et à tenir un inventaire complet accompagné d'une justification écrite de la nécessité de chaque script. L'exigence 11.6.1 impose une surveillance continue afin de détecter toute modification non autorisée des en-têtes HTTP et du contenu de la page de paiement, avec envoi d'alertes au personnel et évaluations effectuées au moins une fois par semaine.
PCI DSS La version 4.0.1 est la dernière version de la norme de sécurité des données de l'industrie des cartes de paiement qui protège les données des titulaires de cartes grâce à des exigences strictes en matière de surveillance de la sécurité. Si votre entreprise traite, stocke ou transmet des informations relatives aux cartes de crédit, vous devez vous conformer à ces réglementations afin d'éviter de lourdes amendes, des taux d'assurance plus élevés et une éventuelle interruption de vos activités. La norme s'applique à tous les commerçants, processeurs, acquéreurs et prestataires de services qui traitent des données relatives aux cartes de paiement. Le non-respect de cette norme peut entraîner des amendes allant de quelques milliers à plusieurs millions de dollars, en fonction du volume de vos transactions et de la gravité des infractions.
PCI DSS La exigence 6.4.3 impose une surveillance active et constante, tandis que la exigence 11.6.1 impose une surveillance au moins une fois tous les sept jours, ou à la fréquence définie dans l'analyse des risques ciblée de votre organisation. Cependant, étant donné que les cyberattaques se produisent en temps réel et que des scripts malveillants peuvent être injectés à tout moment, une surveillance continue (en temps réel) offre la meilleure protection.
Les sanctions pour non-conformité varient en fonction de votre prestataire de services de paiement et du volume de transactions, mais les amendes vont généralement de 5 000 à 500 000 dollars par incident. Outre les amendes, vous risquez de devoir faire face à une augmentation des frais de transaction, à une hausse des primes d'assurance, à la perte de vos privilèges de traitement des paiements et à des coûts importants liés à la réparation des violations de données et aux poursuites judiciaires. Le coût moyen d'une violation des données des cartes de paiement dépasse les 4 millions de dollars si l'on tient compte des enquêtes judiciaires, des frais juridiques, de la notification des clients et de la perturbation des activités.
Au cours d'unPCI DSSaudit, des évaluateurs de sécurité qualifiés examineront vos documents de conformité, testeront vos contrôles de sécurité et vérifieront que vous répondez à toutes les exigences applicables. Pour les exigences 6.4.3 et 11.6.1, les auditeurs examineront votre inventaire de scripts, vérifieront les documents d'autorisation, testeront vos systèmes de surveillance et s'assureront que vous détectez les modifications non autorisées. Grâcecsideà la surveillance automatisée avec , vos documents de conformité sont toujours à jour et prêts pour l'audit, avec des journaux détaillés, des rapports hebdomadaires et des preuves claires d'une surveillance continue que les auditeurs peuvent facilement examiner et valider.
Les solutions basées sur un proxy offrent la protection la plus complète, car elles interceptent et analysent chaque requête de script en temps réel, plutôt que de se contenter d'effectuer des analyses périodiques ou de s'appuyer sur une détection basée sur le navigateur que les pirates peuvent contourner. csideL'approche proxy de garantit une visibilité complète sur le comportement des scripts, des capacités de blocage immédiat des menaces et des rapports de conformité précis qui capturent toutes les variations de scripts. Cette méthode a été auditée et approuvée de manière indépendante par Viking Cloud, ce qui vous donne l'assurance que votre stratégie de conformité répond aux normes les plus élevées du secteur tout en offrant une protection de sécurité supérieure.