Accédez au webinaire à la demande ici
Évitez une catastrophe de conformité de 100 000 $ / mois
31 mars 2025: l’horloge tourne. Et si un seul script négligé pouvait coûter 100 000 $ à votre entreprise par mois en amendes sans conformité? PCI DSS V4 arrive et les entreprises qui gèrent les données de la carte de paiement doivent être préparées.
Au-delà des amendes, la non-conformité expose les entreprises à écrémage sur le Webattaques de scripts tiers et menaces émergentes basées sur le navigateur.
Alors, comment vous préparez-vous à temps?
Reflectiz s’est assis avec Abercrombie & Fitch (A&F), pour une discussion sans retenue sur les défis les plus difficiles PCI DSS V4.
Kevin Heffernan, directeur des risques chez A&F, a partagé des informations exploitables sur:
- Ce qui a fonctionné (et économisé $$$)
- Ce qui n’a pas (et coûté le temps et les ressources)
- Ce qu’ils souhaitent avoir connu plus tôt
➡ Regardez le webinaire complet PCI DSS V4 maintenant
(Accès gratuit à la demande – Apprenez des experts de la conformité d’A&F)
Qu’est-ce qui change dans PCI DSS v4.0.1?
PCI DSS V4 présente des normes de sécurité plus strictes, en particulier pour les scripts tiers, la sécurité du navigateur et la surveillance continue. Deux des plus grands défis pour les marchands en ligne sont les exigences 6.4.3 et 11.6.1.
Exigence 6.4.3 – Sécurité du script de la page de paiement
La plupart des entreprises s’appuient sur des scripts tiers pour la caisse, l’analyse, le chat en direct et la détection de fraude. Mais les attaquants exploitent ces scripts pour Injecter un code malveillant dans les pages de paiement (attaques de style Magecart).
Nouveaux mandats PCI DSS V4:
Inventaire du script – Chaque script chargé dans le navigateur d’un utilisateur doit être enregistré et justifié.
Contrôles d’intégrité – Les entreprises doivent vérifier l’intégrité de tous les scripts de la page de paiement.
Autorisation – Seuls les scripts approuvés doivent s’exécuter sur les pages de paiement.
Comment A&F l’a abordé:
- A effectué des audits de script pour identifier les dépendances tierces inutiles ou risquées.
- Utilisé la politique de sécurité du contenu (CSP) pour restreindre les scripts tiers.
- Utilisé des approbations automatisées intelligentes pour gagner du temps et de l’argent.
Exigence 11.6.1 – Détection de changement et de sabotage
Même si vos scripts sont sécurisés aujourd’hui, les attaquants peuvent injecter des changements malveillants plus tard.
Nouveaux mandats PCI DSS V4:
Mécanisme – Déplacement continu des modifications et de la détection de détection pour les modifications du script de la page de paiement.
Modifications non autorisées – surveillance de l’en-tête HTTP pour détecter les modifications non autorisées.
Intégrité – vérifications hebdomadaires d’intégrité (ou plus fréquemment en fonction des niveaux de risque et des indicateurs de compromis).
Comment A&F l’a abordé:
- Suivi continu déployé pour détecter les modifications non autorisées.
- Informations de sécurité et gestion d’événements utilisées (SIEM) pour la surveillance centralisée.
- Création d’alertes automatisées et d’approbation par lots pour les modifications de script, de structure et d’en-tête sur les pages de paiement.
Essayez le tableau de bord PCI ReflectIz – essai gratuit de 30 jours
Mise à jour récente: la clarification de l’exemption SAQ A
Une clarification récente du Conseil PCI indique ce qui suit concernant SAQ un marcheur [self-assessment questionnaire]:
- Exigence d’admissibilité: Les commerçants doivent confirmer que leur site n’est pas sensible aux attaques de script affectant les systèmes de commerce électronique.
- Options de conformité:
- Mettre en œuvre des techniques de protection (comme celles des exigences PCI DSS 6.4.3 et 11.6.1) soit directement ou par un tiers
- Ou obtenez une confirmation de fournisseurs de services conformes à PCI DSS que leur solution de paiement intégrée comprend une protection contre les attaques de script
- Applicabilité limitée: Les critères s’appliquent uniquement aux commerçants en utilisant des pages / formulaires de paiement intégrés (par exemple, IFRAMES) des fournisseurs de services tiers.
- Exemptions: Les commerçants qui redirigent les clients vers des processeurs de paiement ou sous-traitent entièrement les fonctions de paiement ne sont pas soumis à cette exigence.
- Recommandations: Les commerçants devraient consulter leurs prestataires de services sur la mise en œuvre sécurisée et vérifier avec leur acquéreur que SAQ A convient à leur environnement.
Notez que même si vous êtes admissible à SAQ A, tout votre site Web doit toujours être sécurisé. De nombreuses entreprises auront toujours besoin de surveillance et d’alertes en temps réel, ce qui rend les solutions de conformité complètes concernées malgré tout.
Les 3 meilleurs pièges PCI DSS V4 d’A&F (et comment les éviter)
Avec plusieurs pages de paiement à sécuriser à travers le monde, le parcours de conformité d’Abercrombie et Fitch était complexe. Kevin Heffernan, directeur des risques, a suggéré trois erreurs principales que les marchands en ligne commettent souvent.
Erreur n ° 1: s’appuyant uniquement sur CSP
Bien que la politique de sécurité du contenu (CSP) aide à prévenir les attaques basées sur le script, elle ne couvre pas les changements dynamiques dans les scripts ou les ressources externes. PCI DSS nécessite une vérification supplémentaire de l’intégrité.
Erreur n ° 2: ignorer les fournisseurs tiers
La plupart des détaillants comptent sur des passerelles de paiement externes, des widgets de chat et des scripts de suivi. Si ces vendeurs ne se conforment pas, vous êtes toujours responsable. Audit régulièrement les intégrations tierces.
Erreur n ° 3: traiter la conformité comme une solution ponctuelle
PCI DSS V4 oblige une surveillance continue, ce qui signifie que vous ne pouvez pas simplement auditer des scripts une fois et l’oublier. Les solutions de surveillance continues seront essentielles pour la conformité.
Essayez le tableau de bord PCI Refleviziz pour un petit trimestre de 30 jours.
Final à retenir du voyage de conformité PCI d’A&F
- Évaluation des risques d’abord – Identifier et cartographier les vulnérabilités, les risques de la chaîne d’approvisionnement et les erreurs de configuration des composants avant de sauter dans les changements de conformité.
- Sécuriser vos scripts de page de paiement – Configurer des en-têtes de sécurité HTTP stricts, tels que CSP.
- Surveiller en continu – Utilisez des alertes de surveillance continue, SIEM et de détection de sabot pour capter les modifications avant que les attaquants ne les exploitent.
- Ne présumez pas que les vendeurs vous ont couvert – Audit des scripts et intégrations tiers – La responsabilité de la compliance ne s’arrête pas à votre pare-feu.
La date limite du 31 mars 2025 est plus proche que vous ne le pensez
Attendre trop longtemps pour commencer Crée des lacunes et des risques de sécurité. L’expérience d’A & F montre pourquoi La préparation précoce est critique.
➡ Évitez les amendes de PCI coûteuses – Regardez le webinaire PCI DSS V4 maintenant pour savoir comment un grand détaillant mondial a abordé la conformité et ce que vous pouvez faire aujourd’hui Évitez les amendes et les risques de sécurité.
Essayez le tableau de bord PCI Refleviziz pour un petit trimestre de 30 jours.




