Waarom maakt een Content Security Policy (CSP) ons niet PCI-compliant?

Deze site gebruikt cookies en andere technologieën waarmee wij en de bedrijven waarmee we samenwerken informatie kunnen verzamelen over je apparaat en gebruik van de site om functionaliteit, analyses en advertenties mogelijk te maken. Zie onze cookiemelding voor details.

Find out more in our privacy policy and cookie notice.

Vereisten 6.4.3 en 11.6.1 van PCI DSS schrijven voor dat scripts en HTTP-headers worden gemonitord op wijzigingen. Een Content Security Policy kan alleen de bronnen controleren van waaruit scripts worden opgehaald. Het heeft geen zicht in de script-payload, daarom kan het wijzigingen die nodig zijn om aan PCI DSS-eisen te voldoen niet detecteren.

Gerelateerde vragen

Biedt een CSP voldoende beveiliging?

CSP is een geweldige basislaag voor client-side beveiliging, maar het kan scriptinhoud niet zien. Afhankelijk van je behoeften en risicoprofiel kan het al dan niet voldoende zijn.

Waarom bieden jullie CSP gratis aan?

We geloven fundamenteel dat elk individu en elke organisatie zichzelf zou moeten kunnen beveiligen, ongeacht de middelen.

Kan cside samenwerken met mijn bestaande WAF zonder conflicten?

Wij monitoren een geheel andere dimensie van de applicatie-stack; daarom is er geen interferentie.

Voegt de JavaScript-proxy van cside latentie toe zoals een WAF doet bij al het verkeer?

cside voegt slechts 8-20 milliseconden (een oogknippering duurt doorgaans tussen 100 en 400 milliseconden) latentie toe aan de specifieke, zeer dynamische JavaScript-bestanden die we proxyen.