16 de septiembre de 2024The Hacker NewsSeguridad de pagos / Protección de datos El panorama de PCI DSS está evolucionando rápidamente. Con la fecha límite del primer trimestre de 2025 cada vez más cerca, las empresas se apresuran a cumplir con los nuevos y estrictos requisitos de PCI DSS v4.0. Dos secciones en particular, 6.4.3 y 11.6.1, son problemáticas ya que exigen que las organizaciones monitoreen y administren rigurosamente los scripts de las páginas de pago y utilicen un mecanismo sólido de detección de cambios. Con la fecha límite acercándose rápidamente y las consecuencias del incumplimiento tan graves, no hay lugar para la complacencia, por lo que, en este artículo, analizamos la mejor manera de cumplir con estos complejos requisitos de codificación. PCI DSS v4: comprensión de los requisitos 6.4.3 y 11.6.1 Estos cambios en PCI DSS en v4.0 reconocen la necesidad urgente de reforzar la seguridad del lado del cliente frente a las amenazas generalizadas de la cadena de suministro. Piden una seguridad reforzada en las páginas de pago para mantener los datos de pago confidenciales de los clientes a salvo de ataques de inyección de scripts maliciosos: 6.4.3: Para cumplir con este requisito, su organización debe supervisar y gestionar todos los scripts de la página de pago ejecutados en el navegador del consumidor. Esto incluye asegurarse de que los scripts estén autorizados, se mantenga su integridad y se mantenga un inventario que incluya cada uno de ellos con justificaciones escritas para su inclusión. 11.6.1: Este requisito se centra en detectar cambios en los scripts y evitar la manipulación, por lo que las organizaciones deberán implementar un mecanismo para detectar rápidamente modificaciones no autorizadas en los encabezados HTTP y scripts críticos para la seguridad utilizados en las páginas de pago. Esto ayudará a prevenir la inyección de código malicioso y otros ataques que tengan como objetivo los datos de pago. Un panel de control PCI propietario Reflectiz era consciente de que los métodos tradicionales de cumplimiento de PCI a menudo pueden consumir mucho tiempo y recursos, por lo que creó un panel de control PCI dedicado que los genera con un mínimo de complicaciones. Proporciona visibilidad remota en tiempo real de su ecosistema en línea, con monitoreo a nivel de script y sin necesidad de recursos en el sitio, por lo que el cumplimiento está integrado y los informes de cumplimiento son muy sencillos, porque es como un subproducto natural de lo que la solución ya está haciendo. Obtenga acceso a un Panel de PCI gratuito de 30 días. Simplifique el cumplimiento con aprobaciones inteligentes El mecanismo de aprobación inteligente de Reflectiz es otro ahorro de tiempo. En lugar de aprobar y justificar manualmente cada script, simplemente puede definir comportamientos de script aceptables y luego dejar que el sistema apruebe automáticamente por lotes los que los cumplen. Aún puede aprobar y justificar cambios de script individuales cuando sea necesario, pero tener la opción de agilizar el proceso de aprobación al definir comportamientos de script aceptables de esta manera es una característica adicional liberadora. También se extiende a la gestión de aprobaciones para sitios web con múltiples páginas de pago, lo que es aún mejor. Para resumir: Aprobaciones de script: apruebe y justifique fácilmente cambios de script individuales para cumplir con los requisitos 6.4.3 y 11.6.1. Mecanismo de aprobación inteligente: agilice el proceso de aprobación definiendo comportamientos aceptables de los scripts. Gestión de varias páginas de pago: gestione de forma eficiente las aprobaciones de sitios web con varias páginas de pago. Los beneficios de utilizar el panel de control PCI de Reflectiz se acumulan rápidamente. Ahorro de tiempo: automatice los procesos manuales y libere a su equipo para que se concentre en las actividades comerciales principales. Recientemente, Reflectiz redujo el nivel de trabajo necesario para uno de sus clientes en un 95 % (!). Vea el estudio de caso a continuación. Reducción de costos: reduzca los gastos generales asociados con los esfuerzos de cumplimiento, incluidos el personal y los recursos. Riesgo reducido de incumplimiento: manténgase a la vanguardia de los requisitos de PCI DSS y minimice el riesgo de sanciones costosas y daños a la reputación. El uso de soluciones de seguridad que se basan en JavaScript integrado puede agregar más vulnerabilidades (incluidas las diez principales vulnerabilidades de OWASP) de las que solucionan, como intentar apagar incendios con gasolina. Reflectiz funciona de forma remota, lo que le brinda una vista ininterrumpida de cada script en la página sin posibilidad de compromiso y sin vulnerabilidades adicionales agregadas. El último lugar en el que debería introducir vulnerabilidades de JavaScript es en una página de pago, por lo que Reflectiz toma la ruta mucho más segura y efectiva para el cumplimiento de PCI de monitorearlas de forma remota. Acceda a su Panel de PCI gratuito de 30 días. Por qué Reflectiz eligió la monitorización remota en lugar de scripts integrados Los scripts de seguridad integrados agregan desventajas significativas: Preocupaciones sobre la privacidad: pueden acceder a los datos de su empresa y de los usuarios, lo que agrega una carga constante a sus esfuerzos de cumplimiento. Visibilidad limitada: no pueden monitorear áreas críticas como iFrames, secuestro de usuarios y cookies de seguimiento. Estos son invisibles para ellos. Impacto en el rendimiento: ralentizan los sitios web y requieren actualizaciones constantes. Riesgos de seguridad: son vulnerables a los ataques y aumentan la superficie de ataque general. El enfoque de monitoreo remoto de Reflectiz supera estos desafíos al brindar una supervisión integral, segura y eficiente de los componentes web. Stuart Golding, un importante evaluador de seguridad calificado según PCI DSS, comparte la opinión de que este es el enfoque correcto: «Personalmente, tiendo a favorecer las soluciones que son menos intrusivas, tanto en términos de costo como de implementación. Estas soluciones generalmente requieren un desarrollo mínimo o cambios en la página web de la organización, lo que permite una implementación y resultados rápidos». Caso de estudio: una importante compañía de seguros de EE. UU. Desafío: una importante compañía de seguros de EE. UU. necesitaba cumplir con los nuevos requisitos de PCI DSS v4.0, específicamente 6.4.3 y 11.6.1, que, como hemos señalado, exigen una supervisión y una gestión rigurosas de los scripts de las páginas de pago. La empresa tenía: 2 páginas de pago Aproximadamente 60 scripts en ambas páginas Solución: la empresa implementó el panel de control PCI de Reflectiz para agilizar la supervisión y la aprobación de scripts durante un período de dos semanas. Resultados: Desglose: Conclusiones clave: Reflectiz identificó una cantidad significativa de cambios en los scripts (30 % en solo dos semanas), lo que resalta la necesidad de una supervisión continua. Al proyectar estos datos a una escala mayor (8 páginas de pago), Reflectiz puede potencialmente ahorrarle a la empresa la revisión y aprobación de 40 scripts cada semana. Al automatizar las aprobaciones y minimizar el esfuerzo manual, Reflectiz reduce el riesgo de error humano y agiliza el proceso de cumplimiento. Esto se traduce en un ahorro de costos significativo y un camino más sencillo para aprobar las auditorías PCI. Este estudio de caso demuestra la eficiencia y eficacia de Reflectiz en la gestión de cambios de scripts y la garantía del cumplimiento de PCI DSS. Más allá del cumplimiento de PCI El cumplimiento de PCI es solo un aspecto del conjunto integral de funciones de seguridad web de Reflectiz. Al monitorear componentes web de terceros, rastrear el acceso a datos de pago y tarjeta de crédito y mantener un inventario completo de scripts de terceros y cuartos, Reflectiz ayuda a las organizaciones a lograr y mantener el cumplimiento de PCI DSS v4.0 mientras fortalece su postura de seguridad web general. Acceda a su Panel de PCI gratuito de 30 días. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.