Os requisitos 6.4.3 e 11.6.1 do PCI DSS exigem que scripts e cabeçalhos HTTP sejam monitorados para alterações. Uma Content Security Policy pode apenas controlar as fontes de onde os scripts são buscados. Ela não tem visibilidade dentro do payload do script, portanto não consegue detectar alterações necessárias para atender às exigências do PCI DSS.
Um CSP fornece segurança suficiente?
CSP é uma excelente camada base para segurança client-side, mas não consegue ver o conteúdo dos scripts. Dependendo das suas necessidades e perfil de risco, pode ou não ser suficiente.
Por que vocês oferecem CSP gratuitamente?
Acreditamos fundamentalmente que todo indivíduo e operação deve ser capaz de se proteger, independente dos recursos.
cside pode funcionar junto com meu WAF existente sem conflitos?
Monitoramos uma dimensão completamente diferente da stack de aplicações; portanto, não há interferência.
O proxy JavaScript do cside adiciona latência como um WAF faz a todo o tráfego?
cside adiciona apenas 8-20 milissegundos (o piscar de um olho tipicamente dura entre 100 e 400 milissegundos) de latência aos arquivos JavaScript altamente dinâmicos específicos que proxeamos.