GenelSiber Güvenlik

PCI DSS V4’ü gerçekten ne anlama geliyor – A&F uyumluluk yolculuğundan dersler

teknomers
teknomers


Contents

07 Mart 2025Hacker HaberleriÖdeme Güvenliği / Uyum

İsteğe bağlı web seminerine erişim buradan

100.000 $/ay uyum felaketinden kaçının

31 Mart 2025: Saat geçiyor. Ya gözden kaçan tek bir senaryo, işinize uygun olmayan para cezalarında aylık 100.000 dolara mal olabilirse ne olur? PCI DSS V4 geliyor ve ödeme kartı verilerini işleyen işletmeler hazırlanmalıdır.

Para cezalarının ötesinde, uyumsuzluk işletmeleri Web Skimingüçüncü taraf senaryo saldırıları ve ortaya çıkan tarayıcı tabanlı tehditler.

Peki, zamanında nasıl hazırlanıyorsunuz?

RECTEDIZ, en zorlu PCI DSS V4 zorlukları hakkında tutulmayan bir tartışma için Abercrombie & Fitch (A&F) ile oturdu.

A & F risk direktörü Kevin Heffernan, işlem yapılabilir bilgiler paylaştı:

  • Ne işe yaradı (ve $$$ ‘yi kaydetti)
  • Ne yapmadı (ve maliyet zaman ve kaynakları)
  • Daha önce bildiklerini istedikleri şey

Tam PCI DSS V4 Web Seminerinin tamamını izleyin

(Ücretsiz İsteğe Bağlı Erişim-A & F’nin uyum uzmanlarından öğrenin)

PCI DSS v4.0.1’de ne değişiyor?

PCI DSS V4, özellikle üçüncü taraf komut dosyaları, tarayıcı güvenliği ve sürekli izleme için daha katı güvenlik standartları getirir. Çevrimiçi tüccarlar için en büyük zorluklardan ikisi 6.4.3 ve 11.6.1 gereksinimleridir.

Gereksinim 6.4.3 – Ödeme Sayfası Script Güvenliği

Çoğu işletme, ödeme, analitik, canlı sohbet ve sahtekarlık tespiti için üçüncü taraf senaryolarına güvenir. Ancak saldırganlar bu senaryoları kullanıyor Kötü niyetli kod enjekte edin ödeme sayfalarına (Magecart tarzı saldırılar).

Yeni PCI DSS V4 Zorunları:

Komut Dosyası Envanteri – Bir kullanıcının tarayıcısına yüklenen her komut dosyası günlüğe kaydedilmeli ve gerekçelendirilmelidir.

Bütünlük Kontrolleri – İşletmeler tüm ödeme sayfası komut dosyalarının bütünlüğünü doğrulamalıdır.

Yetkilendirme – ödeme sayfalarında yalnızca onaylanmış komut dosyaları yürütülmelidir.

A&F bununla nasıl başa çıktı:

  • Gereksiz veya riskli üçüncü taraf bağımlılıklarını tanımlamak için komut dosyası denetimleri yapıldı.
  • Üçüncü taraf komut dosyalarını kısıtlamak için İçerik Güvenliği Politikası (CSP) kullanıldı.
  • Zaman ve paradan tasarruf etmek için akıllı otomatik onaylar kullanıldı.

Gereksinim 11.6.1 – Değişiklik ve Kurcalama Tespiti

Komut dosyalarınız bugün güvende olsa bile, saldırganlar daha sonra kötü niyetli değişiklikler enjekte edebilirler.

Yeni PCI DSS V4 Zorunları:

Mekanizma – Sürekli Değişim ve Kurcalama Algılama Mekanizması Ödeme sayfası komut dosyası değişiklikleri için dağıtım.

Yetkisiz değişiklikler – Yetkisiz değişiklikleri tespit etmek için HTTP başlık izleme.

Dürüstlük – Haftalık bütünlük kontrolleri (veya daha sık risk seviyelerine ve uzlaşma göstergelerine dayanır).

A&F bununla nasıl başa çıktı:

  • Yetkisiz değişiklikleri tespit etmek için sürekli izleme.
  • Merkezi izleme için kullanılmış Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM).
  • Ödeme sayfalarında komut dosyası, yapı ve başlık değişiklikleri için otomatik uyarılar ve toplu onay oluşturuldu.

RECTEDIZ PCI Gösterge Tablosunu Deneyin-30 Günlük Ücretsiz Deneme

Son Güncelleme: SAQ A Muafiyet Açıklaması

Yeni bir açıklama PCI konseyinden SAQ A Marchers ile ilgili aşağıdakiler [self-assessment questionnaire]:

  1. Uygunluk Gereksinimi: Tüccarlar, sitelerinin e-ticaret sistemlerini etkileyen senaryo saldırılarına duyarlı olmadığını onaylamalıdır.
  2. Uyumluluk Seçenekleri:
    • Koruma tekniklerini (PCI DSS Gereksinimleri 6.4.3 ve 11.6.1’deki gibi) doğrudan veya üçüncü bir taraf aracılığıyla uygulayın
    • Veya PCI DSS uyumlu servis sağlayıcılardan, gömülü ödeme çözümlerinin senaryo saldırısı korumasını içerdiğini onaylayın
  3. Sınırlı Uygulanabilirlik: Kriterler yalnızca üçüncü taraf hizmet sağlayıcılarından gömülü ödeme sayfaları/formları (örn. IFRames) kullanan tüccarlar için geçerlidir.
  4. Muafiyet: Müşterileri ödeme işlemcilerine yönlendiren veya ödeme işlevlerini tam olarak dış kaynaklara yönlendiren tüccarlar bu gereksinime tabi değildir.
  5. Öneriler: Tüccarlar, güvenli uygulama konusunda servis sağlayıcılarına danışmalı ve edinenleriyle SAQ A’nın çevreleri için uygun olduğunu doğrulamalıdır.

SAQ A’ya hak kazansanız bile, tüm web sitenizin hala güvence altına alınması gerektiğini unutmayın. Birçok işletmenin hala gerçek zamanlı izleme ve uyarılara ihtiyacı olacak ve bu da tam uyumluluk çözümlerini ne olursa olsun alakalı hale getirecektir.

A & F’nin En İyi 3 PCI DSS V4 Tuzakları (ve bunlardan nasıl kaçınılır)

Dünyada güvence altına alacak birden fazla ödeme sayfası ile Abercrombie ve Fitch’in uyum yolculuğu karmaşıktı. Risk direktörü Kevin Heffernan, çevrimiçi tüccarların sık sık yaptığı üç ana hata önerdi.

Hata #1: Yalnızca CSP’ye güvenmek

İçerik Güvenliği Politikası (CSP) senaryo tabanlı saldırıları önlemeye yardımcı olsa da, komut dosyalarındaki veya harici kaynaklardaki dinamik değişiklikleri kapsamaz. PCI DSS ek bütünlük doğrulaması gerektirir.

Hata #2: Üçüncü taraf satıcılarını görmezden gelmek

Çoğu perakendeci harici ödeme ağ geçitlerine, sohbet widget’larına ve izleme komut dosyalarına güvenir. Bu satıcılar uymazsa, hala sorumlusunuz. Üçüncü taraf entegrasyonları düzenli olarak denetleyin.

Hata #3: Uyumluluğu bir kerelik düzeltme olarak ele almak

PCI DSS V4 devam eden izlemeyi zorunlu kılar – yani komut dosyalarını bir kez denetleyemezsiniz ve unutamazsınız. Sürekli izleme çözümleri uyumluluk için kritik olacaktır.

30 günlük serbest duruşma için PCI gösterge panelini deneyin.

A & F’nin PCI uyumluluk yolculuğundan son çıkaraklar

  • Önce risk değerlendirmesi – Uyum değişikliklerine atlamadan önce güvenlik açıklarını, tedarik zinciri risklerini ve bileşenlerin yanlış yakınlaştırmalarını tanımlayın ve haritalayın.
  • Ödeme sayfası komut dosyalarınızı güvence altına alın – Gibi katı HTTP güvenlik üstbilgileri yapılandırın CSP.
  • Sürekli izleyin – Saldırganların kullanmadan önce değişiklikleri yakalamak için sürekli izleme, SIEM ve kurcalama algılama uyarıları kullanın.
  • Tedarikçileriniz kapsadığını varsayma -Üçüncü taraf senaryolarını ve entegrasyonlarını denetleyin-Masif sorumluluk güvenlik duvarınızda durmaz.

31 Mart 2025 son tarihi düşündüğünüzden daha yakın

Başlamak için çok uzun bekliyor Güvenlik boşlukları ve pahalı para cezaları riskleri yaratır. A & F’nin deneyimi nedenini gösteriyor Erken hazırlık kritiktir.

➡ Pahalı PCI para cezalarından kaçının – PCI DSS v4 web seminerini şimdi izleyin büyük bir küresel perakendecinin uyumlulukla nasıl mücadele ettiğini ve bugün ne yapabileceğinizi öğrenmek için para cezalarından ve güvenlik risklerinden kaçının.

30 günlük serbest duruşma için PCI gösterge panelini deneyin.



siber-2

şirket piyasa değerinde 1 trilyon dolar kaybeden ilk şirket oldu
MFA Başarısızlıkları Fidye Yazılımı Kayıplarında %500’lük Artışı Nasıl Tetikliyor?
Final Fantasy 14 Dawntrail Genişlemesi Pictomancer İşini ve Keşfedilecek Yeni Alanları Tanıtıyor
Medya, Rusya’da pasaport basımı için yazıcı sıkıntısı olduğunu bildirdi. İçişleri Bakanlığı bu verileri yalanlıyor.
Elon Musk şaşırtıcı derecede güzel roket fırlatma videosunu paylaşıyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Battery Startup’ın kurucusu yeni fonlamayı takiben CEO olarak bir sonraki enerji iademiz
Sonraki Makale 256GB Galaxy S24 Fe

Sanal Medya

Son Eklenenler

Afroman Döndü: Bitcoin’le Özgürlük Mücadelesi Veriyor!
Genel
Gears Of War Tasarımcısından E-Day Hakkında Çarpıcı Yorumlar
Oyun
Bireysel Geliştiricinin Takım Gibi İnşa Etme Yöntemi: Planı Dondurma, Kesişen Noktaları Dondurma
Yazılım
Kritik Uyarı: UNC3753’ün Vishing ve Fiziksel İhlalleriyle Veri Hırsızlığı
Siber Güvenlik
Yeni Bir Macera: Spyro Ejderha, 20 Yıl Sonra Geri Dönüyor
Oyun
Kritik: VS Code, Tedarik Zinciri Saldırılarını Önlemek İçin Gecikme Getirdi
Siber Güvenlik