Este artigo analisa de forma honesta as funcionalidades do DomDog.
Como você está no site do cside, reconhecemos nossa parcialidade. Dito isso, construímos nossos argumentos de forma honesta e baseamos nossa análise em informações publicamente disponíveis, informações do setor e nossas próprias experiências ou as de nossos clientes.
Se você quiser verificar as afirmações deles por conta própria, acesse a página do produto.
O DomDog é uma ferramenta desenvolvida especificamente para atender aos requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1. Lembre-se de que em 30 de janeiro de 2025 as empresas que precisavam cumprir ambos os requisitos receberam uma atualização.
As empresas SAQ A agora não precisam mais cumprir esses requisitos, desde que:
seu site não seja suscetível a ataques de scripts que possam afetar o(s) sistema(s) de e-commerce do comerciante.
Veja a atualização completa do PCI DSS que afirma isso.
| Critério | cside | Domdog | Por que importa | Quais são as consequências |
|---|---|---|---|---|
| Abordagens utilizadas | Monitoramento por script + análise no servidor | Detecção baseada em JS | ||
| Proteção em tempo real | Full support |
Full support |
Ataques podem ocorrer entre as varreduras ou nos dados excluídos quando há amostragem | Detecção tardia = violações de dados ativas |
| Análise completa de payload | Full support |
No support |
Garante visibilidade profunda dos comportamentos maliciosos dentro do próprio código do script | As ameaças passam despercebidas a menos que a fonte seja conhecida em um feed de ameaças |
| Detecção dinâmica de ameaças | Full support |
Full support |
Identifica ataques que mudam de acordo com o usuário, o horário ou a localização | Detecção falha de ataques direcionados |
| Detecção de ameaças em nível de DOM | Full support |
Full support |
Rastreia mudanças no DOM e observa como os scripts se comportam durante a execução | Incapaz de identificar ataques sofisticados baseados em DOM |
| 100% de rastreamento histórico e forense | Full support |
No support |
Necessário para resposta a incidentes, auditoria e conformidade | Necessário para resposta a incidentes, auditoria e conformidade |
| Página de status pública & transparência de uptime | Full support |
No support |
Você pode verificar de forma independente o uptime ao vivo e o histórico de incidentes antes e depois de comprar, em vez de saber das interrupções primeiro pelos seus próprios usuários | O DomDog não publica nenhuma página de status, histórico de incidentes ou SLA de uptime, portanto não há uma visão independente de sua confiabilidade |
| Proteção contra evasão | Full support |
No support |
Impede que os atacantes contornem os controles por meio de ofuscação ou evasão no DOM | Ameaças furtivas continuam sem ser detectadas |
| Certeza de que o script visto pelo usuário é monitorado | Full support |
No support |
Alinha a análise com o que realmente é executado no navegador | Lacunas entre o que é revisado e o que é realmente executado |
| Análise de scripts impulsionada por IA | Full support |
No support |
Detecta ameaças novas ou em evolução por meio de modelagem de comportamento | Dependência de atualizações manuais, feeds de ameaças ou regras = detecção lenta e propensa a erros |
| Dashboard PCI validado por QSA | Full support |
No support |
A forma mais confiável de garantir que uma solução está em conformidade com o PCI é realizar uma auditoria minuciosa por um QSA independente | Sem validação de QSA, você depende inteiramente de afirmações de marketing, o que pode resultar na reprovação em uma auditoria |
| SOC 2 Type II | Full support |
No support |
Demonstra controles de segurança operacional consistentes ao longo do tempo | Carece de validação verificada de controles de segurança, o que o torna um fornecedor arriscado |
| Interface específica para PCI | Full support |
No support |
Uma interface fácil para revisão rápida de scripts e justificativa com um clique ou automação por IA | Tarefas tediosas e pesquisa manual sobre o que todos os scripts fazem, o que leva horas ou dias |
| Integrações de tickets (Linear, Jira) | Full support (Linear e Jira) |
No support |
Integrações nativas com ferramentas de tickets para desenvolvedores permitem que os alertas de segurança fluam diretamente para os fluxos de trabalho existentes | Sem integrações nativas de tickets, as equipes precisam criar tickets manualmente para os achados de segurança, o que atrasa os tempos de resposta |
O que é o DomDog?
Os fundadores do DomDog têm um longo histórico e experiência em segurança do lado do cliente. Todas as informações sobre o produto e os preços são totalmente visíveis e muito fáceis de encontrar. Isso é raro entre os produtos do nosso setor. Os preços começam em $999 por ano, semelhante ao cside.
Como o DomDog funciona
O DomDog é feito sob medida para os requisitos 6.4.3 e 11.6.1 do PCI DSS, com foco em segurança do lado do cliente. O processo de configuração exige apenas que um único script seja adicionado à tag de cabeçalho do seu site. Isso é semelhante ao cside, embora a funcionalidade dos dois scripts varie muito.
Parece que eles estão coletando dados, exibindo os scripts em um dashboard e pedindo que o usuário os revise. Embora isso seja adequado para o PCI, não é a melhor abordagem do ponto de vista de segurança.
Digamos que um script de XSS armazenado se torne malicioso; eles não conseguirão detectá-lo, pois não estão no fluxo de entrega. Essa abordagem costuma ser chamada de "Agent" JavaScript. Os Agents JavaScript operam dentro da camada JavaScript e não conseguem monitorar código fora dela. Ele verifica quais dados os diversos scripts estão coletando e permite que o usuário coloque determinados scripts em listas de bloqueio ou de permissão em determinados sites ou páginas.
Eles usam uma abordagem secundária, que é uma Content Security Policy (CSP). Uma CSP funciona como um firewall que confia apenas em fontes de script previamente aprovadas, não em seu conteúdo. Caso a fonte permaneça a mesma, mas o conteúdo mude, como no maior ataque do lado do cliente de 2024 – o Polyfill, uma CSP não o detectará.
Escrevemos um artigo aprofundado sobre Por que a CSP não funciona no que diz respeito a oferecer a melhor solução de segurança do lado do cliente:
A CSP opera com um modelo de lista de permissões, que autoriza recursos de domínios confiáveis, mas não consegue bloquear scripts ou recursos individuais provenientes desses domínios.
Não encontramos uma certificação SOC2 ou PCI DSS.
Como o cside vai além
O DomDog foi feito para marcar a caixa de conformidade com o PCI DSS 4.0.1. O cside foi feito para deter ataques do lado do cliente. A conformidade é consequência de uma segurança real.
O DomDog se concentra de forma restrita nos requisitos 6.4.3 e 11.6.1, com monitoramento comportamental que detecta mudanças em scripts e elementos da página. Detecção após a entrega significa que um atacante pode exfiltrar dados antes que qualquer alerta seja disparado. O cside bloqueia scripts maliciosos antes que sejam executados no navegador. Sem janela de detecção.
Onde o DomDog monitora mudanças comportamentais, o cside realiza a análise de payload em nossa própria infraestrutura. Nós baixamos os scripts no servidor, executamos a detecção e identificamos a intenção maliciosa no nível do código. Isso captura ameaças que o monitoramento comportamental sozinho deixaria passar, especialmente ataques direcionados que só são ativados sob condições específicas (determinadas regiões geográficas, janelas de tempo ou tipos de dispositivo).
O cside também vai além do PCI DSS. Nós ajudamos você a atender aos requisitos de conformidade de HIPAA, GDPR e CPRA. Se suas necessidades de conformidade vão além dos padrões de cartões de pagamento, o DomDog não cobre esse terreno.
Para análise forense, o cside mantém arquivos imutáveis de cada payload de script com histórico completo de versões. Quando os auditores perguntam o que aconteceu durante um incidente, você tem o código real do ataque e uma linha do tempo completa, não apenas um log de mudanças comportamentais.
O cside também publica uma página de status pública em status.cside.com, um portal de confiança público em trust.cside.com e um SLA de uptime de 99.9%, para que você possa verificar nossa confiabilidade e histórico de incidentes por conta própria. O DomDog não publica nenhum desses.
Cadastre-se ou agende uma demonstração para começar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.