Le Conseil des normes de sécurité pour l’industrie des cartes de paiement (PCI SSC) a lancé la version PCI DSS v4.0.1 en juin 2024, introduisant des mises à jour cruciales pour améliorer la sécurité des paiements et assurer une protection complète des pages de paiement pour le commerce électronique. Ces mises à jour, qui clarifient les exigences existantes et fournissent un guide explicite basé sur la rétroaction des parties prenantes du PCI DSS 4.0, soulignent l’importance de l’adaptation continue dans un paysage de sécurité en constante évolution.

Décortiquer les dernières mises à jour de sécurité côté client du PCI DSS

Les sections 6.4.3 et 11.6.1 de PCI DSS v4.0.1 introduisent des changements fondamentaux en matière de sécurité côté client :

Section 6.4.3

• Autorisation des Scripts : Il est précisé que dans des environnements d’application web hautement dynamiques, l’autorisation préalable des scripts peut être peu pratique. C’est pourquoi il est essentiel de disposer d’un outil capable de détecter de nouveaux scripts sur les pages de paiement et de notifier les équipes de sécurité pour leur analyse et autorisation.
• Inventaire des Scripts : Les organisations doivent maintenir un inventaire détaillé de tous les scripts avec une justification technique ou commerciale écrite, soulignant la nécessité de contrôles de sécurité stricts sur les scripts exécutés sur les pages de paiement.

Section 11.6.1

• Mécanismes de détection de modifications et de manipulations : Une approche personnalisée est prescrite pour surveiller les en-têtes HTTP et le contenu des scripts sur les pages de paiement, signalant les modifications non autorisées qui pourraient indiquer un compromis de sécurité ou une attaque côté client.

Conformité simplifiée avec Akamai Client-Side Protection & Compliance

Akamai Client-Side Protection & Compliance est conforme aux nouveaux standards de PCI DSS v4.0.1, offrant des outils qui simplifient la conformité et améliorent la sécurité des pages de paiement. Cette solution avancée analyse l’activité des scripts en temps réel pour détecter des comportements malveillants, protégeant les organisations et leurs clients contre des menaces telles que le web skimming et les attaques de Magecart.

• Découverte et catalogage automatiques : Détecte et catalogue automatiquement tous les scripts sur les pages de paiement, alertant l’équipe de sécurité sur les scripts non autorisés pour leur révision et autorisation.
• Spécification de la nécessité des Scripts : Permet aux équipes de sécurité de spécifier la nécessité de chaque script sur les pages de paiement, facilitant la conformité avec les exigences de PCI DSS v4.0.1.
• Surveillance des en-têtes HTTP : Surveille et alerte sur les changements dans les en-têtes de sécurité HTTP comme X-XSS-Protection et X-Frame-Options, permettant un examen immédiat des modifications.

Renforcez la sécurité de votre organisation avec Akamai

Les ajouts et précisions dans PCI DSS v4.0.1 mettent en évidence les risques de sécurité existants lors de l’intégration d’un iframe d’un fournisseur de paiements et renforcent la nécessité de protections robustes côté client. Akamai Client-Side Protection & Compliance offre une surveillance et une protection exhaustives pour tous les scripts sous la responsabilité de l’organisation, assurant la conformité et les améliorations de sécurité pour les scripts propriétaires comme ceux de tiers.

Avec Akamai comme votre partenaire de cybersécuritéLes solutions de cybersécurité sont essentielles de nos jours…, vous pouvez vous défendre avec confiance contre des menaces cybernétiques telles que les fuites de données et les malwares, et mettre en échec les cybercriminels cherchant à capturer des informations critiques des clients et des partenaires qui vous font le plus confiance.

via: Akamai