De Raad voor Betalingskaartindustrie Beveiligingsstandaarden (PCI SSC) heeft in juni 2024 de versie PCI DSS v4.0.1 uitgebracht, met cruciale updates om de beveiliging van betalingen te verbeteren en een alomvattende bescherming te waarborgen van de betaalpagina’s voor e-commerce. Deze updates, die de bestaande vereisten verduidelijken en expliciete begeleiding bieden op basis van de feedback van belanghebbenden op PCI DSS 4.0, benadrukken het belang van voortdurende aanpassing aan een steeds evoluerend beveiligingslandschap.
De Laatste Client-Side Beveiligingsupdates in PCI DSS Uitgelegd
De secties 6.4.3 en 11.6.1 van PCI DSS v4.0.1 introduceren fundamentele wijzigingen in de client-side beveiliging:
Sectie 6.4.3
- Scriptautorisatie: Er wordt verduidelijkt dat in sterk dynamische webtoepassingsomgevingen voorafgaande scriptautorisatie onpraktisch kan zijn. Daarom is een instrument essentieel dat nieuwe scripts op betaalpagina’s detecteert en beveiligingsteams informeert voor analyse en autorisatie.
- Scriptinventaris: Van organisaties wordt vereist dat zij een gedetailleerde inventaris bijhouden van alle scripts met daarbij een geschreven technische of zakelijke rechtvaardiging, waarbij de noodzaak van strikte beveiligingscontroles over de scripts die worden uitgevoerd op de betaalpagina’s wordt benadrukt.
Sectie 11.6.1
- Wijzigings- en Manipulatiedetectiemechanismen: Er wordt een aangepaste aanpak voorgeschreven om de HTTP-headers en de inhoud van scripts op betaalpagina’s te monitoren, te waarschuwen voor niet-geautoriseerde wijzigingen die kunnen duiden op een beveiligingscompromis of een client-side aanval.
Vereenvoudigde Compliance met Akamai Client-Side Protection & Compliance
Akamai Client-Side Protection & Compliance sluit aan bij de nieuwe normen van PCI DSS v4.0.1, door instrumenten aan te bieden die de naleving vereenvoudigen en de beveiliging van de betaalpagina’s verbeteren. Deze geavanceerde oplossing analyseert de scriptactiviteit in real-time om kwaadaardig gedrag te detecteren, waardoor organisaties en hun klanten worden beschermd tegen dreigingen zoals web skimming en Magecart-aanvallen.
- Automatische Ontdekking en Catalogisatie: Detecteert en catalogiseert automatisch alle scripts op de betaalpagina’s, waardoor beveiligingsteams worden gewaarschuwd voor niet-geautoriseerde scripts voor beoordeling en autorisatie.
- Noodzakelijkheidsspecificatie van Scripts: Stelt beveiligers in staat om de noodzaak van elk script op de betaalpagina’s aan te geven, wat bijdraagt aan de naleving van de PCI DSS v4.0.1 vereisten.
- HTTP-Headermonitoring: Monitort en waarschuwt voor wijzigingen in HTTP-veiligheidheaders zoals X-XSS-Protection en X-Frame-Options, wat een onmiddellijke beoordeling van de wijzigingen toestaat.
Versterk de Beveiliging van je Organisatie met Akamai
De nieuwe toevoegingen en verduidelijkingen in PCI DSS v4.0.1 belichten de voortdurende veiligheidsrisico’s bij het integreren van een iframe van een betalingsprovider, en benadrukken de noodzaak van robuuste client-side beschermingen. Akamai Client-Side Protection & Compliance biedt uitgebreide monitoring en bescherming voor alle scripts waarvoor de organisatie verantwoordelijk is, en zorgt voor compliance en beveiligingsverbeteringen voor zowel eigen als derde-partij scripts.
Met Akamai als je cybersecurityCybersecurity-oplossingen zijn essentieel in het digitale tijd… partner, kun je vertrouwen op verdediging tegen cybertea zoals datalekken en malware, en dwarsbomen de cybercriminelen die jagen op de kritieke informatie van klanten en partners die het meest in je vertrouwen.
via: Akamai