Kart mevcut değil dolandırıcılık, sahtekarlık yönetimi ve siber suç, PCI standartları
Son dakika PCI DSS 4.0 Değişiklikler Kötü niyetli komut dosyalarıyla savaşmanın zorluklarını vurgulamak
Mathew J. Schwartz (Euroinfosec) •
15 Nisan 2025
Tüccarlara karşı güvenlik Mavens, standart yöneten dijital ödemeler kadar eski bir hikaye. Güvenlik adanmışları daha katı standartlar için zorlar. Tüccarlar, özellikle daha küçük olanlar, daha katı standartların uygun olmadığını söylüyor. Genellikle iki taraf bir uzlaşma sağlar, ancak uygulama aşamasına iyi devam edebilecek bol miktarda dramdan önce değil.
Ayrıca bakınız: Panel Tartışması | AWS’de PCI DSS v4.0’a en akıllı yol
Dolayısıyla, ödeme kartı endüstrisinin 1 Nisan’dan bu yana yürürlükte olan veri güvenliği standardının piyasaya sürülmesiyle birlikte. PCI DSS – şimdi 4.0.1 sürümünde – ödeme kartı güvenliğini kilitlemeyi amaçlayan bir dizi iyileştirme tanıtıyor, ancak tüccarların web sitelerinde ve tarayıcı güvenliğinde çalışan komut dosyalarını kefil etmek için değiştirilmiş sabit gereksinimler.
E-ticaret sayfalarına yüklenen kötü amaçlı komut dosyaları meşru bir sorundur. “Magecart” saldırıları yapan veri sıyırıcı bilgisayar korsanları, 2024 yılı boyunca yeni sofistike zirvelere ulaştı, algılamayı önlemek veya e-ticaret web sitelerine ısmarlama kötü amaçlı yazılımları teslim etmek için komut dosyalarını dağıttı, siber güvenlik firması kaydedilen geleceği tespit etti.
En son spesifikasyon, başlangıçta tüccarların tüm komut dosyalarının bütünlüğünü doğrulamalarını, yetkilendirilmelerini ve envanterini ve kullanımda olan tüm komut dosyalarını haklı çıkarmalarını isteyerek bunun önüne geçmeye çalışır.
Uproar başladı. Büyük tüccarlar bir seferde binlerce senaryo çalıştırabilir. Birçok küçük tüccar, senaryo yüklü üçüncü taraf yazılımı tamamen kutunun dışında kullanır ve bu senaryoların ne yaptığını veya nedenini görünürlüğü yoktur.
Başka bir yeni gereksinim, “Güvenlik Etkilenen HTTP başlıkları ve ödeme sayfalarının komut dosyası içeriğine” dahil olmak üzere yetkisiz ödeme sayfası değişiklikleri için izlenmeyi ve bunlara yanıt verilmesini gerektirdi. PCI, modern web sayfalarının çok sayıda kaynaktan nasıl bir araya getirildiği göz önüne alındığında, kötü niyetli etkinlikleri tespit etmenin tek yolu tarayıcının kendisinde olduğunu söyledi.
Yanıt olarak, 30 Ocak’taki PCI Konseyi, tüccarın “sitelerinin satıcının e -ticaret sistemlerini etkileyebilecek komut dosyalarından gelen saldırılara duyarlı olmadığını onaylayabileceği sürece” komut dosyası doğrulama ve web sayfası güvenlik gereksinimlerini kaldırarak gereksinimleri değiştirdi.
28 Şubat’ta konsey, tüccarların ödeme sayfalarını kötü amaçlı komut dosyalarından korumak için tasarlanmış araçları kullanabileceğini belirterek ne anlama geldiğini daha da açıklığa kavuşturmaya çalıştı.
Alternatif olarak, “SAQ A” tüccarlar “olarak adlandırılan ödeme işlemini yönlendiren veya dış kaynak kullanan satıcıların, yaklaşımının” tüccarın ödeme sayfasını senaryo saldırılarından koruyacağını “iddia etmek için sağlayıcıya güvenebileceğini söylüyor.
Birden fazla uyum uzmanı da zamanlamaları da dahil olmak üzere değişiklikler konusunda hoşnutsuzluğu dile getirdi. “Benimle dalga geçiyorlar,” diye yazdı biri geçen ay Reddit’e. “Bu bir ay içinde ikinci bir SAQ ve yürürlüğe girmeden 30 gün önce. Zihinsel mi? Uyumlu kontroller uygulayan müşterilerim var, bunun maliyeti var.”
Yeni kuralların yürürlüğe girmesi için haftalar önce, “Hala netliğimiz olmaması delilik”.
Değişiklikler ve pratikte nasıl çalışmaları gerektiği konusunda devam eden bir tartışma devam ediyor. Birçok uygulayıcının, üçüncü taraf hizmet sağlayıcılarının kullanıcıların kötü amaçlı komut dosyalarına karşı duyarlı olmayacağını ve herhangi bir sorumluluğu kabul etmeyi seçip seçmeyeceğini garanti etmek için soruları da dahil olmak üzere soruları vardır. Ayrıca uyum dünyasında belki de bu tür beyanlar kulağa hoş gelse de, “Infosec dünyası biraz kafalarını çiziyor ve ‘bekle, duyarlı değil mi? Bir şeyin sıfır duyarlılığı olduğunu kanıtlamak çok zor’ ‘dedi. Bush, ödeme güvenliği değerlendiricilerinin üst düzey liderliği ile PCI SSC kıdemli liderliği arasında iletişim için doğrudan bir kanal olarak işlev gören PCI SSC Global Executiveor Roundtable için şirketin başkanı olarak görev yapmaktadır.
E-ticaret kötü amaçlı yazılım ve güvenlik açığı algılama şirketi SANSEC, uyumluluk amaçları için ücretsiz bir içerik güvenliği politikası izleme aracı sağlayan müşterilerin tarayıcılarını korumaya çalışmak da zorlu bir yaklaşımdır.
“Deneyimlerimize göre, tarayıcı tabanlı güvenlik işe yaramaz.” Dedi. Diyerek şöyle devam etti: “2015 yılından bu yana binlerce dijital sıyırma olayıyla ilgili adli araştırmalarımız,% 99’unun müşteri tarafı korumalarını kolayca atlayabilen tehlikeye atılmış sunuculardan kaynaklandığını gösteriyor.” Mağazanızı korumanın en iyi yolu “sunucularınızı korumaktır” dedi.
Bush, dijital sıyırma saldırılarını itmek, PCI konseyinin daha iyi adrese istekli olmasına rağmen, çözülmesi zor bir sorun olmaya devam ediyor.
Bush, “Nostradamus şapkamı giyecek ve ileriye dönük ne olacağını tahmin edecek olsaydım, bu konuşmalar devam edecek, çünkü şu anda var olan tehdit manzarası çok fazla e-ticaret merkezli ve bunu reddetmek zor,” dedi.