PCI DSS 4.0.1
Comment se conformer aux sectionsPCI DSS 4.0.1 - 6.4.3 et 11.6.1
cside vous permet de gérer et de respecter ces deux exigences.
cside vous permet de gérer et de respecter ces deux exigences.
La norme PCI DSS (PCI DSSPayment Card Industry Data Security Standard) est un ensemble de directives visant à garantir la sécurité des transactions par carte bancaire à l'échelle mondiale. Créée par le PCI Security Standards Council, elle a pour objectif de protéger contre le vol de données et la fraude dans les transactions par carte de débit et de crédit.
PCI DSS La section 4.0.1 s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes (CHD) et/ou des données d'authentification sensibles (SAD), ou qui pourraient avoir un impact sur la sécurité de l'environnement des données de titulaires de cartes (CDE). Cela inclut toutes les entités de traitement des comptes de cartes de paiement telles que les commerçants, les processeurs, les acquéreurs, les émetteurs et autres prestataires de services. Une nouvelle addition à la section 4.0.1 concerne la surveillance et la gestion des tiersJavaScript, abordée par les exigences 6.4.3 et 11.6.1.
Le 30 janvier 2025, l'aPCI DSSannoncé une mise à jour des exigences 6.4.3 et 11.6.1. Les entreprises de niveau A du questionnaire d'auto-évaluation sont exemptées, mais elles doivent confirmer que leur site n'est pas susceptible d'être attaqué par des scripts qui pourraient affecter le(s) système(s) de commerce électronique du commerçant.
La SAQ A, conçue pour les commerçants les moins vulnérables, les exempte de certainesPCI DSS exigences étant donné qu'ils ne stockent pas de données de titulaires de cartes (Card Holder DataCHD). Toutefois, une surveillance complète reste essentielle pour la sécurité.
cside automatise les exigences 6.4.3 et 11.6.1 grâce à la surveillance en temps réel des scripts, à la vérification de leur intégrité et à la génération de rapports complets prêts à être audités.
Dans le cadre des ajoutsPCI DSS 4.0.1 devenus obligatoires le 31 mars 2025, l'exigence 6.4.3 impose aux entreprises :
Sur les pages qui traitent des informations sensibles sur les utilisateurs (cartes de paiement, informations médicales, etc.PII), vous devez mettre en place un mécanisme permettant de surveiller les scripts tiers, ce qu'ils font sur les navigateurs de vos utilisateurs, et d'alerter les équipes de sécurité lorsque les scripts ont un comportement suspect.
Obligatoire depuis le 31 mars 2025 pour tout site web acceptant les paiements numériques.
Dans le cadre des ajoutsPCI DSS 4.0.1 devenus obligatoires le 31 mars 2025, l'exigence 11.6.1 impose aux entreprises :
Les en-têtes HTTP sont des règles qui indiquent au navigateur d'un utilisateur comment traiter le contenu d'une page. La modification de ces en-têtes (par exemple par un script malveillant) peut affaiblir les protections de sécurité.PCI DSS La section 11.6.1 exige des entreprises qu'elles disposent d'un mécanisme qui vérifie régulièrement (au moins une fois tous les sept jours) les modifications non autorisées des en-têtes et alerte l'équipe de sécurité lorsqu'elles se produisent.
Nécessite des capacités techniques de suivi et d'évaluation
*Définitions basées surPCI DSSla version 4.0.1 - juin 2024. Il s'agit de la version la plus récente en septembre 2025. Pour consulter les documents officiels, rendez-vous dans la bibliothèque PCI SSC.
De nombreuses solutions traditionnelles visent uniquement à cocher la case « conformité », sans offrir le plus haut niveau de sécurité. Les approches basées sur des robots d'indexation effectuent des analyses périodiques et peuvent être contournées. Les CSP s'attaquent à la source, pas à la charge utile. Les agents côté client peuvent être détectés et contournés.
cside utilise une solution proxy située entre les scripts tiers et le navigateur. Nous voyons chaque requête de script et chaque charge utile, fournissant des alertes en temps réel et des capacités de blocage avant que les utilisateurs ne soient compromis.
Visibilité complète sur le comportement des scripts, suivi historique et capacité à détecter les menaces dynamiques ou spécifiques à l'utilisateur que d'autres solutions ne détectent pas.
| Critères | Pourquoi est-ce important ? | Quelles sont les conséquences ? | CSP | chenille | Basé sur JS | Hybride |
|---|---|---|---|---|---|---|
| Protection en temps réel | Les attaques peuvent se produire entre les analyses ou dans les données exclues lors de l'échantillonnage. | Détection tardive = violations actives des données | | | | |
| Analyse complète de la charge utile | Assure une visibilité approfondie des comportements malveillants au sein même du code du script. | Les menaces passent inaperçues à moins que leur source ne soit connue dans un flux de menaces. | | | | |
| Détection dynamique des menaces | Nécessaire pour la réponse aux incidents, l'audit et la conformité | Évite les compromis entre performances et sécurité | | | | |
| Suivi historique et analyse forensic à 100 % | Nécessaire pour la réponse aux incidents, l'audit et la conformité | Évite les compromis entre performances et sécurité | | | | |
| Aucun impact sur les performances | Évite les compromis entre performances et sécurité | Des temps de chargement plus longs peuvent réduire les conversions et nuire à l'expérience utilisateur. | | | | |
| Protection de dérivation | Empêche les attaquants de contourner les contrôles par le biais deDOMl'obfuscation ou de l'évasion. | Les menaces furtives continuent de passer inaperçues | | | | |
| Certitude que le script vu par l'utilisateur est surveillé | Aligne l'analyse avec ce qui s'exécute réellement dans le navigateur. | Écarts entre ce qui est examiné et ce qui est réellement exécuté | | | | |
| Analyse de script basée sur l'IA | Détecte les menaces nouvelles ou émergentes grâce à la modélisation comportementale. | Dépendance vis-à-vis des mises à jour manuelles, des flux de menaces ou des règles = détection lente et sujette aux erreurs | | | | |
| Complexité de la mise en œuvre et calendrier | Impact sur le délai de rentabilisation et les coûts des ressources internes | Les longs délais de déploiement réduisent l'agilité | high | medium | medium | low |
| Peut répondre à l'exigence 11.6.1 | 11.6.1 concerne la surveillance des modifications apportées aux en-têtes de sécurité ainsi qu'au contenu des scripts eux-mêmes. | Le fait de ne pas surveiller les en-têtes de sécurité constitue une violation de la section 11.6.1. Les en-têtes manquants ou modifiés signalent des attaques potentielles. | | | | |
Les entreprises leaders font confiance à cside
Conçu pour les équipes de sécurité qui ont besoin de visibilité dans le navigateur,cside offre une protection éprouvée contre les attaques modernes côté client tout en prenant en charge les principaux cadres de conformité. Votre partenaire de confiance pour la conformité réglementaire dans le navigateur.
Visitez notre Centre de confiance
RGPD 
SOC 2 
PCI DSS En tant que partenaire pour la sécurité web, nous voulons que vous puissiez nous joindre facilement. Chaque client bénéficie d’un accès 1:1 à notre équipe via Slack et Microsoft Teams. Nous répondons en quelques minutes, pas en quelques jours. Que ce soit pour une demande de fonctionnalité, des questions ou des idées.
Commencez dès aujourd'hui à surveiller et à sécuriser les scripts tiers sur vos sites web. Conformez-vous aux PCI DSSexigences 4.0.1, 6.4.3 et 11.6.1.
*Cette page décrit les fonctionnalités du produit et la manière dont elles peuvent vous aider à respecter vos obligations réglementaires. Elle ne constitue en aucun cas un avis juridique. Les exigences varient selon les organisations et les juridictions.