El panorama del PCI DSS está evolucionando rápidamente. Con la fecha límite del primer trimestre de 2025 cada vez más cerca, las empresas se esfuerzan por cumplir con los nuevos y estrictos requisitos de PCI DSS v4.0. Dos secciones en particular, 6.4.3 y 11.6.1, son problemáticas ya que exigen que las organizaciones supervisen y administren rigurosamente los scripts de las páginas de pago y utilicen un mecanismo sólido de detección de cambios. Con la fecha límite acercándose rápidamente y las consecuencias del incumplimiento tan graves, no hay lugar para la complacencia, por lo que, en este artículo, analizamos la mejor manera de cumplir con estos complejos requisitos de codificación.
PCI DSS v4: Descripción de los requisitos 6.4.3 y 11.6.1
Estos cambios en PCI DSS en la versión 4.0 reconocen la necesidad urgente de reforzar la seguridad del lado del cliente ante las amenazas generalizadas a la cadena de suministro. Exigen una mayor seguridad de las páginas de pago para mantener los datos de pago confidenciales de los clientes a salvo de ataques de inyección de scripts maliciosos:
- 6.4.3: Para cumplir con este requisito, su organización debe supervisar y administrar todos los scripts de la página de pago que se ejecutan en el navegador del consumidor. Esto incluye garantizar que los scripts estén autorizados, que se mantenga su integridad y que usted mantenga un inventario que incluya cada uno de ellos con justificaciones escritas para su inclusión.
- 11.6.1: Este requisito se centra en detectar cambios en los scripts y evitar manipulaciones, por lo que las organizaciones deberán implementar un mecanismo para detectar rápidamente modificaciones no autorizadas en los encabezados HTTP y scripts críticos para la seguridad que se utilizan en las páginas de pago. Esto ayudará a prevenir la inyección de código malicioso y otros ataques dirigidos a los datos de pago.
Un panel de control PCI exclusivo
Reflectiz era consciente de que los métodos tradicionales de cumplimiento de PCI suelen requerir mucho tiempo y recursos, por lo que creó un panel de control PCI dedicado que los genera con un mínimo de complicaciones. Proporciona visibilidad remota en tiempo real de su ecosistema en línea, con monitoreo a nivel de script y sin necesidad de recursos en el sitio, por lo que el cumplimiento está integrado y los informes de cumplimiento son muy sencillos, porque es como un subproducto natural de lo que la solución ya está haciendo.
Obtenga acceso a un panel de control PCI gratuito durante 30 días.
Simplifique el cumplimiento con aprobaciones inteligentes
El mecanismo de aprobación inteligente de Reflectiz es otro ahorro de tiempo. En lugar de aprobar y justificar manualmente cada script, puedes simplemente definir comportamientos aceptables para los scripts y luego dejar que el sistema apruebe automáticamente por lotes los que los cumplan.
Aún puedes aprobar y justificar cambios individuales en los scripts cuando sea necesario, pero tener la opción de agilizar el proceso de aprobación definiendo comportamientos aceptables en los scripts de esta manera es una característica adicional liberadora. También se extiende a la gestión de aprobaciones para sitios web con múltiples páginas de pago, lo que es aún mejor.
Para resumir:
- Aprobaciones de guiones: Apruebe y justifique fácilmente cambios de guión individuales para cumplir con los requisitos 6.4.3 y 11.6.1.
- Mecanismo de aprobación inteligente: Agilice el proceso de aprobación definiendo comportamientos de script aceptables.
- Gestión de múltiples páginas de pago: Gestione de forma eficiente las aprobaciones de sitios web con múltiples páginas de pago.
Los beneficios de utilizar el panel PCI de Reflectiz pronto se acumulan.
- Ahorro de tiempo: Automatice los procesos manuales, liberando a su equipo para que pueda centrarse en las actividades principales del negocio.Recientemente, Reflectiz redujo el nivel de trabajo necesario para uno de sus clientes en un 95%(!) Vea el estudio de caso a continuación.
- Reducción de costes: Reducir los gastos generales asociados con los esfuerzos de cumplimiento, incluidos el personal y los recursos.
- Riesgo reducido de incumplimiento: Manténgase a la vanguardia de los requisitos PCI DSS y minimice el riesgo de sanciones costosas y daños a la reputación.
El uso de soluciones de seguridad que se basan en JavaScript integrado puede agregar más vulnerabilidades (incluidas Las diez principales vulnerabilidades de OWASP) de lo que arreglan, como si intentaran apagar incendios con gasolina. Reflectiz funciona de forma remota, lo que le brinda una vista ininterrumpida de cada script en la página sin posibilidad de compromiso y sin vulnerabilidades adicionales agregadas. El último lugar donde debería introducir Vulnerabilidades de JavaScript es una página de pago, por lo que Reflectiz toma la ruta mucho más segura y efectiva hacia el cumplimiento de PCI al monitorearlos de forma remota.
Acceda a su Panel de Control PCI gratuito por 30 días.
¿Por qué Reflectiz eligió la monitorización remota en lugar de los scripts integrados?
Los scripts de seguridad integrados añaden inconvenientes importantes:
- Preocupaciones sobre la privacidad: Pueden acceder a sus datos comerciales y de usuarios, lo que supone una carga constante para sus esfuerzos de cumplimiento.
- Visibilidad limitada: No pueden supervisar áreas críticas como iFrames, secuestro de usuarios y cookies de seguimiento, que son invisibles para ellos.
- Impacto en el rendimiento: Ralentizan los sitios web y requieren actualizaciones constantes.
- Riesgos de seguridad: Son vulnerables a los ataques y aumentan la superficie de ataque general.
El enfoque de monitoreo remoto de Reflectiz supera estos desafíos al proporcionar una supervisión integral, segura y eficiente de los componentes web.
Stuart Golding, un importante evaluador de seguridad calificado según PCI DSS, comparte la opinión de que este es el enfoque correcto: «Personalmente, tiendo a favorecer las soluciones menos intrusivas, tanto en términos de coste como de implementación. Estas soluciones suelen requerir un desarrollo mínimo o cambios en la página web de la organización, lo que permite una rápida implementación y resultados».
Estudio de caso: una importante compañía de seguros de EE. UU.
Desafío:Una importante compañía de seguros de EE. UU. necesitaba cumplir con los nuevos requisitos de PCI DSS v4.0, específicamente 6.4.3 y 11.6.1, que, como hemos señalado, exigen una supervisión y una gestión rigurosas de los scripts de las páginas de pago. La empresa tenía:
- 2 páginas de pago
- Aproximadamente 60 scripts en ambas páginas
Solución:La empresa implementó el panel PCI de Reflectiz para optimizar el monitoreo y la aprobación de scripts durante un período de dos semanas.
Resultados:
Descomponer:
Puntos clave:
- Reflectiz identificó una cantidad significativa de cambios de guión (30% en solo dos semanas), lo que resalta la necesidad de un monitoreo continuo.
- Al proyectar estos datos a una escala mayor (8 páginas de pago), Reflectiz puede potencialmente ahorrarle a la empresa la tarea de revisar y aprobar 40 scripts por semana.
- Al automatizar las aprobaciones y minimizar el esfuerzo manual, Reflectiz reduce el riesgo de error humano y agiliza el proceso de cumplimiento. Esto se traduce en un importante ahorro de costes y un camino más sencillo para aprobar las auditorías PCI.
Este estudio de caso demuestra la eficiencia y eficacia de Reflectiz a la hora de gestionar cambios de script y garantizar el cumplimiento de PCI DSS.
Más allá del cumplimiento de PCI
El cumplimiento de PCI es solo un aspecto del conjunto integral de funciones de seguridad web de Reflectiz. Al monitorear componentes web de terceros, rastrear el acceso a datos de pagos y tarjetas de crédito y mantener un inventario completo de scripts de terceros y de terceros, Reflectiz ayuda a las organizaciones a lograr y mantener el cumplimiento de PCI DSS v4.0 al mismo tiempo que fortalece su postura de seguridad web general.