人工智能驱动的工作流程自动化数据管理分析和业务报告
作者:Source Defense
随着 PCI DSS 4.0 的推出,商家现在正努力应对旨在增强持卡人数据安全性的新要求。在由 Source Defense 主办的QSA 圆桌会议上,行业资深人士齐聚一堂,分析这些变化及其对各种规模企业的影响。
了解新要求
PCI DSS 4.0 引入了两项 whatsapp 号码数据 关键要求——6.4.3 和 11.6.1——重点关注支付页面的安全性。所有处理在线支付的组织必须在 2025 年 3 月之前遵守这些要求。这些要求要求商家确保其支付页面上脚本的授权和完整性,并监控与这些页面相关的内容或标题的任何更改。
Source Defense 解决方案架构师Matt McGuirk强调了这些要求在网络威胁不断演变的背景下的重要性。“我们看到所谓的 Magecart 或客户端攻击有所增加……这是一种发生在网页内的网络安全攻击,不是发生在 Web 应用程序、服务器或数据库中,而是在客户购买时运行时发生的。因此,这是一个需要填补的新空白, ”McGuirk 解释道。
“ DSS 中有很多关于保护服务器、静态文件甚至 TLS SSL 的内容,因为一切都在来回进行。但实际上并没有将浏览器视为一种独特的执行环境, ”他说。“这里的想法是,在存在卡数据的网页上,商家必须有一种机制来确保这些脚本被授权在那里……一种确保这些脚本完整性的机制和维护所有这些脚本的清单, ”McGuirk 说。
扩大范围
圆桌会议中争论最多的话题之一是这些 这种全面的数据增强 新要求的范围,尤其是它们如何延伸到第三方甚至第四方服务提供商。范围的扩大反映了一种更全面的“支付流”方法来确保在线交易的安全。
在线业务系统 QSA Jeff Man强调了这一更广泛范围背后的意图。“版本 4 的意图非常明确,至少部分被查看的内容是……商家网站上的网页, ”Man 说。“甚至包括重定向到第三方支付流程或提供 iframe 的页面。因此,版本 4 的目的很大程度上是我们过去所说的电子商务服务器、电子商务页面,而不仅仅是我所说的支付页面,即结帐功能。 ”
自动化工具的作用
鉴于手动管理这些新的安全要求的007 數據 复杂性,小组成员主张采用可以简化合规性并增强安全性的自动化工具。
Intersec Worldwide 合规服务副总裁Richard Haag强调了自动化的必要性。“我们确实鼓励我们的客户使用这些工具, ”Haag 说。“我认为我们的许多大客户都在寻找能够在一定程度上实现自动化的工具,并捕获授权并记录正在发生的事情。这些脚本和页面会发生变化,试图在电子表格中跟踪这类内容是行不通的。 ”
“当自动化工具能够分析、识别和分类所有这些脚本时,深入了解您的网站及其上运行的内容将变得更加容易, ”McGuirk 说。“除了用于验证的工作流程外,这些工具还应以高效的方式确保脚本的完整性并减少总体工作量。 ”
小组讨论了商家可以采用的各种技术解决方案,以符合 PCI DSS 4.0 的要求,特别是内容安全策略 (CSP)和子资源完整性 (SRI)。这些技术旨在通过控制哪些脚本可以运行并确保这些脚本的完整性来增强网页的安全性。
然而, Schellman 技术总监Sully Perella强调,CSP 虽然旨在保护网页的执行环境,但经常会导致功能问题。对于严重依赖动态内容和第三方集成的大型网站来说,这尤其成问题,而这些在营销和销售应用程序中很常见。
“ CSP 是浏览器的指令,往往会经常导致问题, ”Perella 说。“我们的许多大型网站可能会尝试它,并会受到一些阻力,尤其是来自市场营销和销售部门的阻力,但这就是结局。 ”
Perella 还强调了自动化工具在维护和响应变化方面发挥的作用,强调了它们在简化合规性和确保一致的安全管理方面的重要性。“我们看到很多组织都在寻求解决方案,而作为 QSA,我们只想看到这些解决方案得到一致维护,并在出现问题或触发问题时做出响应, ”Perella 说。“你的后续行动是什么?我们看到了对此的变更控制,这表明了他们的响应能力,它解决了我们所知的这些页面的范围,并且它确实简化了整个过程,这是肯定的。 ”
关键在于,基于行为的解决方案可以实时监控和阻止未经授权的脚本行为,比内容安全策略 (CSP) 和子资源完整性 (SRI) 等传统方法更有效。
小商户面临的挑战
虽然大型企业可能有资源来迎头应对这些新要求,但小型商家却面临重大障碍。圆桌讨论强调了小型企业受到的不成比例的影响以及定制解决方案的必要性。
AT&T 网络安全部门全国实践负责人罗伯特·戴维森 (Robert Davidson)表达了对较小实体的担忧。“对于小公司来说……我认为对于大多数这些要求的实施来说,这将是一个挑战, ”他说。“组织越小,这种痛苦就越大。 ”
“以前从未做过任何事情的小商家……现在必须采取行动,他们不仅要想出办法来满足 6.4.3 和 11.6.1,而且还要接受 ASV 扫描, ”Man 补充道。“这不是一项新要求,所以他们甚至没有宽限期。我现在的客户不一定是小商家,而是一些大型商家,他们将电子商务分开,以便他们可以执行 SAQ A 或 SAQ A 等效要求。说实话,他们有点紧张。 ”
Sully Perella 强调寻求专家指导的重要性,特别是对于小型商家而言。“如果您的服务器正在提供它,并且它在客户的浏览器上执行,那么您的目的就是知道它是什么, ”Perella 解释道。“即使是第三方或第四方,您也需要控制和了解在客户的浏览器中执行的内容。 ”
推进支付页面安全
圆桌会议最后达成共识,虽然这些新要求可能会带来挑战,但它们对于提高支付页面安全性和保护持卡人数据至关重要。小组成员一致认为,持续监控、利用自动化和寻求专家指导是合规性和安全性的必要步骤。