Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Lo que realmente significa PCI DSS V4: lecciones del viaje de cumplimiento de A&F
  • Tecnología

Lo que realmente significa PCI DSS V4: lecciones del viaje de cumplimiento de A&F

teknomers 7 de Mart de 2025 (Last updated: 7 de Mart de 2025) 7 minutes read
Lo que realmente significa PCI DSS V4: lecciones del viaje


07 de marzo de 2025Las noticias del hackerSeguridad de pago / cumplimiento

Acceda al seminario web a pedido aquí

Evite un desastre de cumplimiento de $ 100,000/mes

31 de marzo de 2025: El reloj está marcando. ¿Qué pasaría si un solo script pasado por alto pudiera costarle a su negocio $ 100,000 por mes en multas por incumplimiento? Se avecina PCI DSS V4, y las empresas que manejan los datos de la tarjeta de pago deben estar preparados.

Más allá de las multas, el incumplimiento expone a las empresas a skimming webataques de guiones de terceros y amenazas emergentes basadas en el navegador.

Entonces, ¿cómo te preparas a tiempo?

Reflectiz se sentó con Abercrombie & Fitch (A&F), para una discusión sin restricciones sobre los desafíos más difíciles de PCI DSS V4.

Kevin Heffernan, Director de Riesgo en A&F, compartió ideas procesables sobre:

  • Lo que funcionó (y ahorró $$$)
  • Lo que no lo hizo (y costará el tiempo y los recursos)
  • Lo que desearían haber sabido antes

➡ Mira el seminario web PCI DSS V4 completo ahora

(Acceso gratuito a pedido: aprenda de los expertos en cumplimiento de A&F)

¿Qué está cambiando en PCI DSS V4.0.1?

PCI DSS V4 presenta estándares de seguridad más estrictos, especialmente para scripts de terceros, seguridad del navegador y monitoreo continuo. Dos de los mayores desafíos para los comerciantes en línea son los requisitos 6.4.3 y 11.6.1.

Requisito 6.4.3 – Seguridad del script de la página de pago

La mayoría de las empresas dependen de scripts de terceros para pagar, análisis, chat en vivo y detección de fraude. Pero los atacantes explotan estos guiones a inyectar código malicioso en páginas de pago (ataques de estilo Magecart).

Nuevos mandatos PCI DSS V4:

Inventario de script: cada script cargado en el navegador de un usuario debe registrarse y justificarse.

Controles de integridad: las empresas deben verificar la integridad de todos los scripts de la página de pago.

Autorización: solo los scripts aprobados deben ejecutarse en las páginas de pago.

Cómo lo abordó A&F:

  • Realizó auditorías de script para identificar dependencias de terceros innecesarias o riesgosas.
  • Política de seguridad de contenido utilizada (CSP) para restringir los scripts de terceros.
  • Utilizó aprobaciones automatizadas inteligentes para ahorrar tiempo y dinero.

Requisito 11.6.1 – Detección de cambio y manipulación

Incluso si sus scripts están seguros hoy, los atacantes pueden inyectar cambios maliciosos más tarde.

Nuevos mandatos PCI DSS V4:

Mecanismo: cambio continuo y implementación de mecanismo de detección de manipulación para cambios en la guión de la página de pago.

Cambios no autorizados: monitoreo del encabezado HTTP para detectar modificaciones no autorizadas.

Integridad: controles de integridad semanales (o con mayor frecuencia en función de los niveles de riesgo e indicadores de compromiso).

Cómo lo abordó A&F:

  • Implementado monitoreo continuo para detectar modificaciones no autorizadas.
  • Utilizado información de seguridad y gestión de eventos (SIEM) para monitoreo centralizado.
  • Creó alertas automatizadas y aprobación por lotes para el script, la estructura y los cambios de encabezado en las páginas de pago.

Pruebe el tablero de reflexiones PCI-prueba gratuita de 30 días

Actualización reciente: la aclaración de exención SAQ

Una aclaración reciente del Consejo PCI establece lo siguiente con respecto a SAQ A Marchants [self-assessment questionnaire]:

  1. Requisito de elegibilidad: Los comerciantes deben confirmar que su sitio no es susceptible a los ataques de guiones que afectan los sistemas de comercio electrónico.
  2. Opciones de cumplimiento:
    • Implementar técnicas de protección (como las de los requisitos de PCI DSS 6.4.3 y 11.6.1), ya sea directamente o a través de un tercero
    • U obtener la confirmación de los proveedores de servicios que cumplen con PCI DSS de que su solución de pago integrado incluye protección contra el ataque de scripts
  3. Aplicabilidad limitada: El criterio solo se aplica a los comerciantes que utilizan páginas/formularios de pago integrados (por ejemplo, iframes) de proveedores de servicios de terceros.
  4. Exenciones: Los comerciantes que redirigen a los clientes a los procesadores de pago o subcontratan completamente las funciones de pago no están sujetos a este requisito.
  5. Recomendaciones: Los comerciantes deben consultar con sus proveedores de servicios sobre la implementación segura y verificar con su adquirente que SAQ A es apropiado para su entorno.

Tenga en cuenta que incluso si califica para SAQ A, todo su sitio web debe estar asegurado. Muchas empresas aún necesitarán monitoreo y alertas en tiempo real, lo que hace que las soluciones de cumplimiento completa sean relevantes independientemente.

Top 3 PCI DSS V4 de A&F (y cómo evitarlas)

Con múltiples páginas de pago para asegurarse en todo el mundo, el viaje de cumplimiento de Abercrombie y Fitch fue complejo. Kevin Heffernan, Director de Riesgo, ha sugerido tres errores principales que a menudo cometen los comerciantes en línea.

Error #1: confiar solo en CSP

Si bien la política de seguridad de contenido (CSP) ayuda a prevenir los ataques basados ​​en script, no cubre cambios dinámicos en scripts o recursos externos. PCI DSS requiere una verificación de integridad adicional.

Error #2: Ignorando a los proveedores de terceros

La mayoría de los minoristas dependen de las pasarelas de pago externas, los widgets de chat y los scripts de seguimiento. Si estos proveedores no cumplen, todavía eres responsable. Auditar regularmente las integraciones de terceros.

Error #3: Tratar el cumplimiento como una solución única

PCI DSS V4 exige el monitoreo continuo: significa que no puede simplemente auditar scripts una vez y olvidarse de ello. Las soluciones de monitoreo continuo serán críticas para el cumplimiento.

Pruebe el tablero de reflejo de reflejo para el juicio libre de 30 días.

Takeaways finales del viaje de cumplimiento de PCI de A&F

  • Evaluación de riesgos primero – Identificar y asignar vulnerabilidades, riesgos de la cadena de suministro y configuraciones erróneas de los componentes antes de saltar a los cambios de cumplimiento.
  • Asegure los scripts de su página de pago – Configurar encabezados de seguridad HTTP estrictos, como CSP.
  • Monitorear continuamente – Use alertas de detección continua de monitoreo continuo, SIEM y Detección de Tamper para las modificaciones de captura antes de que los atacantes las exploten.
  • No asuma que los vendedores lo tienen cubierto -Auditar scripts e integraciones de terceros: la responsabilidad de complemento no se detiene en su firewall.

La fecha límite del 31 de marzo de 2025 está más cerca de lo que piensas

Esperando demasiado tiempo para empezar Crea brechas de seguridad y riesgos multas costosas. La experiencia de A&F muestra por qué La preparación temprana es crítica.

➡ Evite las costosas multas PCI – Mira el seminario web PCI DSS V4 ahora para aprender cómo un minorista global importante abordó el cumplimiento, y qué puede hacer hoy Evite las multas y los riesgos de seguridad.

Pruebe el tablero de reflejo de reflejo para el juicio libre de 30 días.

¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La barra de la papa quiere sorprender a Deathev
Next: Sipay Bodrum FK 1-0 Kasımpaşa (resumen del resultado del partido)

Related Stories

Tesla lanza un Model Y de 6 plazas para reemplazar
  • Tecnología

Tesla lanza un Model Y de 6 plazas para reemplazar el Model X, ¿pronto en Francia?

teknomers 7 de Temmuz de 2026
Carrefour explica a sus clientes por qué usa píxeles de
  • Tecnología

Carrefour explica a sus clientes por qué usa píxeles de seguimiento en sus correos electrónicos promocionales

teknomers 7 de Temmuz de 2026
Canícula: los climatizadores Lidl revendidos hasta cuatro veces su precio
  • Tecnología

Canícula: los climatizadores Lidl revendidos hasta cuatro veces su precio en Teknomers

teknomers 7 de Temmuz de 2026

You May Have Missed

  • Deporte

Rumores del fútbol: Kroupi, Salah, Wan-Bissaka, Summerville, Mora, Derry, Sigur, Carvajal

teknomers 7 de Temmuz de 2026
Tesla lanza un Model Y de 6 plazas para reemplazar
  • Tecnología

Tesla lanza un Model Y de 6 plazas para reemplazar el Model X, ¿pronto en Francia?

teknomers 7 de Temmuz de 2026
Merville. Detección visual gratuita con el Optocar Novacel
  • salud

Merville. Detección visual gratuita con el Optocar Novacel

teknomers 7 de Temmuz de 2026
El primer ministro australiano Anthony Albanese se disculpa tras comentarios
  • Entretenimiento

El primer ministro australiano Anthony Albanese se disculpa tras comentarios sexistas sobre Kylie Minogue

teknomers 7 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.