PCI DSS V4’ü gerçekten ne anlama geliyor – A&F uyumluluk yolculuğundan dersler

   Mart 7, 2025  Posted in TheHackerNews


07 Mart 2025Hacker HaberleriÖdeme Güvenliği / Uyum

İsteğe bağlı web seminerine erişim buradan

100.000 $/ay uyum felaketinden kaçının

31 Mart 2025: Saat geçiyor. Ya gözden kaçan tek bir senaryo, işinize uygun olmayan para cezalarında aylık 100.000 dolara mal olabilirse ne olur? PCI DSS V4 geliyor ve ödeme kartı verilerini işleyen işletmeler hazırlanmalıdır.

Para cezalarının ötesinde, uyumsuzluk işletmeleri web sıyırma, üçüncü taraf senaryo saldırıları ve ortaya çıkan tarayıcı tabanlı tehditlere maruz bırakır.

Peki, zamanında nasıl hazırlanıyorsunuz?

RECTEDIZ, en zorlu PCI DSS V4 zorlukları hakkında tutulmayan bir tartışma için Abercrombie & Fitch (A&F) ile oturdu.

A & F risk direktörü Kevin Heffernan, işlem yapılabilir bilgiler paylaştı:

  • Ne işe yaradı (ve $$$ ‘yi kaydetti)
  • Ne yapmadı (ve maliyet zaman ve kaynakları)
  • Daha önce bildiklerini istedikleri şey

Tam PCI DSS V4 Web Seminerinin tamamını izleyin

(Ücretsiz İsteğe Bağlı Erişim-A & F’nin uyum uzmanlarından öğrenin)

PCI DSS v4.0.1’de ne değişiyor?

PCI DSS V4, özellikle üçüncü taraf komut dosyaları, tarayıcı güvenliği ve sürekli izleme için daha katı güvenlik standartları getirir. Çevrimiçi tüccarlar için en büyük zorluklardan ikisi 6.4.3 ve 11.6.1 gereksinimleridir.

Gereksinim 6.4.3 – Ödeme Sayfası Script Güvenliği

Çoğu işletme, ödeme, analitik, canlı sohbet ve sahtekarlık tespiti için üçüncü taraf senaryolarına güvenir. Ancak saldırganlar, ödeme sayfalarına (Magecart tarzı saldırılar) kötü niyetli kod enjekte etmek için bu komut dosyalarını kullanıyor.

Yeni PCI DSS V4 Zorunları:

Komut Dosyası Envanteri – Bir kullanıcının tarayıcısına yüklenen her komut dosyası günlüğe kaydedilmeli ve gerekçelendirilmelidir.

Bütünlük Kontrolleri – İşletmeler tüm ödeme sayfası komut dosyalarının bütünlüğünü doğrulamalıdır.

Yetkilendirme – ödeme sayfalarında yalnızca onaylanmış komut dosyaları yürütülmelidir.

A&F bununla nasıl başa çıktı:

  • Gereksiz veya riskli üçüncü taraf bağımlılıklarını tanımlamak için komut dosyası denetimleri yapıldı.
  • Üçüncü taraf komut dosyalarını kısıtlamak için İçerik Güvenliği Politikası (CSP) kullanıldı.
  • Zaman ve paradan tasarruf etmek için akıllı otomatik onaylar kullanıldı.

Gereksinim 11.6.1 – Değişiklik ve Kurcalama Tespiti

Komut dosyalarınız bugün güvende olsa bile, saldırganlar daha sonra kötü niyetli değişiklikler enjekte edebilirler.

Yeni PCI DSS V4 Zorunları:

Mekanizma – Sürekli Değişim ve Kurcalama Algılama Mekanizması Ödeme sayfası komut dosyası değişiklikleri için dağıtım.

Yetkisiz değişiklikler – Yetkisiz değişiklikleri tespit etmek için HTTP başlık izleme.

Dürüstlük – Haftalık bütünlük kontrolleri (veya daha sık risk seviyelerine ve uzlaşma göstergelerine dayanır).

A&F bununla nasıl başa çıktı:

  • Yetkisiz değişiklikleri tespit etmek için sürekli izleme.
  • Merkezi izleme için kullanılmış Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM).
  • Ödeme sayfalarında komut dosyası, yapı ve başlık değişiklikleri için otomatik uyarılar ve toplu onay oluşturuldu.

RECTEDIZ PCI Gösterge Tablosunu Deneyin-30 Günlük Ücretsiz Deneme

Son Güncelleme: SAQ A Muafiyet Açıklaması

PCI konseyinden yakın tarihli bir açıklama, SAQ A Marchers ile ilgili aşağıdakileri belirtmektedir. [self-assessment questionnaire]:

  1. Uygunluk Gereksinimi: Tüccarlar, sitelerinin e-ticaret sistemlerini etkileyen senaryo saldırılarına duyarlı olmadığını onaylamalıdır.
  2. Uyumluluk Seçenekleri:
    • Koruma tekniklerini (PCI DSS Gereksinimleri 6.4.3 ve 11.6.1’deki gibi) doğrudan veya üçüncü bir taraf aracılığıyla uygulayın
    • Veya PCI DSS uyumlu servis sağlayıcılardan, gömülü ödeme çözümlerinin senaryo saldırısı korumasını içerdiğini onaylayın
  3. Sınırlı Uygulanabilirlik: Kriterler yalnızca üçüncü taraf hizmet sağlayıcılarından gömülü ödeme sayfaları/formları (örn. IFRames) kullanan tüccarlar için geçerlidir.
  4. Muafiyet: Müşterileri ödeme işlemcilerine yönlendiren veya ödeme işlevlerini tam olarak dış kaynaklara yönlendiren tüccarlar bu gereksinime tabi değildir.
  5. Öneriler: Tüccarlar, güvenli uygulama konusunda servis sağlayıcılarına danışmalı ve edinenleriyle SAQ A’nın çevreleri için uygun olduğunu doğrulamalıdır.

SAQ A’ya hak kazansanız bile, tüm web sitenizin hala güvence altına alınması gerektiğini unutmayın. Birçok işletmenin hala gerçek zamanlı izleme ve uyarılara ihtiyacı olacak ve bu da tam uyumluluk çözümlerini ne olursa olsun alakalı hale getirecektir.

A & F’nin En İyi 3 PCI DSS V4 Tuzakları (ve bunlardan nasıl kaçınılır)

Dünyada güvence altına alacak birden fazla ödeme sayfası ile Abercrombie ve Fitch’in uyum yolculuğu karmaşıktı. Risk direktörü Kevin Heffernan, çevrimiçi tüccarların sık sık yaptığı üç ana hata önerdi.

Hata #1: Yalnızca CSP’ye güvenmek

İçerik Güvenliği Politikası (CSP) senaryo tabanlı saldırıları önlemeye yardımcı olsa da, komut dosyalarındaki veya harici kaynaklardaki dinamik değişiklikleri kapsamaz. PCI DSS ek bütünlük doğrulaması gerektirir.

Hata #2: Üçüncü taraf satıcılarını görmezden gelmek

Çoğu perakendeci harici ödeme ağ geçitlerine, sohbet widget’larına ve izleme komut dosyalarına güvenir. Bu satıcılar uymazsa, hala sorumlusunuz. Üçüncü taraf entegrasyonları düzenli olarak denetleyin.

Hata #3: Uyumluluğu bir kerelik düzeltme olarak ele almak

PCI DSS V4 devam eden izlemeyi zorunlu kılar – yani komut dosyalarını bir kez denetleyemezsiniz ve unutamazsınız. Sürekli izleme çözümleri uyumluluk için kritik olacaktır.

30 günlük serbest duruşma için PCI gösterge panelini deneyin.

A & F’nin PCI uyumluluk yolculuğundan son çıkaraklar

  • Önce risk değerlendirmesi – Uyum değişikliklerine atlamadan önce güvenlik açıklarını, tedarik zinciri risklerini ve bileşenlerin yanlış yakınlaştırmalarını tanımlayın ve haritalayın.
  • Ödeme sayfası komut dosyalarınızı güvence altına alın – CSP gibi katı HTTP güvenlik başlıklarını yapılandırın.
  • Sürekli izleyin – Saldırganların kullanmadan önce değişiklikleri yakalamak için sürekli izleme, SIEM ve kurcalama algılama uyarıları kullanın.
  • Tedarikçileriniz kapsadığını varsayma -Üçüncü taraf senaryolarını ve entegrasyonlarını denetleyin-Masif sorumluluk güvenlik duvarınızda durmaz.

31 Mart 2025 son tarihi düşündüğünüzden daha yakın

Başlamak için çok uzun bekliyor Güvenlik boşlukları ve pahalı para cezaları riskleri yaratır. A & F’nin deneyimi nedenini gösteriyor Erken hazırlık kritiktir.

➡ Pahalı PCI para cezalarından kaçının – PCI DSS v4 web seminerini şimdi izleyin büyük bir küresel perakendecinin uyumlulukla nasıl mücadele ettiğini ve bugün ne yapabileceğinizi öğrenmek için para cezalarından ve güvenlik risklerinden kaçının.

30 günlük serbest duruşma için PCI gösterge panelini deneyin.

Bu makaleyi ilginç mi buldunuz? Bu makale, değerli ortaklarımızdan birinin katkıda bulunan bir parçasıdır. Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link