Una agencia de calificación PCI independiente probó Reflectiz según las nuevas reglas PCI DSS. El veredicto es el siguiente: Lea la evaluación QSA completa aquí →
Cuando un cliente ingresa su número de tarjeta al finalizar la compra, el navegador pasa mucho más tiempo ejecutándose que el código. Etiquetas de análisis, administradores de etiquetas, widgets de soporte, iframes de pago: los pagos modernos están cargados con una serie de scripts de terceros, cualquiera de los cuales puede convertirse en un skimmer.
Así funciona Magecart. Sansec cuenta con más de 100.000 sitios afectados por web skimming y ataques a la cadena de suministro. Solo la violación de British Airways de 2018 expuso 380.000 transacciones y resultó en multas que oscilaron entre £183 millones.
La parte peligrosa: el código malicioso suele llegar a través de scripts ya autorizados. Los atacantes comprometieron a un proveedor externo y la carga útil estaba integrada en un script que se ejecutó durante varios meses. Nada parece nuevo. Lo que ha cambiado es el comportamiento del script, no su presencia en la página.
PCI DSS v4.0.1 cierra esa brecha con dos requisitos y ahora se aplica plenamente. 6.4.3 establece que debe enumerar todos los scripts de las páginas de pago, aprobarlos y certificar que están completos. 11.6.1 especifica que los navegadores detectan la manipulación del contenido de la página y de los encabezados HTTP a medida que se reciben. Esto no escala si ejecuta manualmente cientos de scripts que cambian constantemente. Según datos de Reflectiz, alrededor del 30% de los scripts de las páginas de pago cambian en dos semanas.
Lo que descubrió QSA
Integrity360 Europe, un asesor de seguridad certificado por PCI y miembro de la mesa redonda de asesores ejecutivos globales de PCI SSC, revisó la plataforma Reflectiz PCI DSS con respecto a ambos requisitos y descubrió que es capaz de respaldar el cumplimiento de manera efectiva. Destacan tres cosas.
Supervisa el comportamiento y los hash de los archivos. Las comprobaciones de hash omiten intercambios silenciosos por parte del proveedor. Reflectiz detecta scripts en el momento en que comienzan a acceder a los datos de la tarjeta. Implementado sin agentes. No hay cambios de código ni fragmentos, dura días y continúa funcionando mediante refactorizaciones y migraciones de CMS. Genere evidencia lista para QSA con un solo clic. Cada página tiene un registro de auditoría completo para una evaluación inmediata.
SAQ Una captura
A partir de enero de 2025, los vendedores podrán eliminar 6.4.3 y 11.6.1 del SAQ A solo si confirman que su sitio no es susceptible a ataques de script. ¿Quieres redirigir completamente al procesador? Probablemente estés bien. ¿Quieres insertar un iframe para pagos? Un script en la página principal podría secuestrar el proceso de pago antes de que los datos lleguen al marco seguro, y usted debe demostrar que no puede hacerlo. La pregunta frecuente número 1588 de PCI SSC señala directamente estos mismos controles.
Obtén la calificación completa
El documento técnico completo de Integrity360 Europe detalla ambos requisitos, los flujos de trabajo de monitoreo y exactamente lo que SAQ A requiere actualmente de los comerciantes de iframe.
Descargue el documento técnico →
Source link
