📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um avaliador independente do PCI testou o Reflectiz de acordo com as novas regras do PCI DSS. Aqui está o veredicto: Veja a avaliação completa do QSA aqui →
Quando um cliente digita o número do cartão na finalização da compra, o navegador dele está executando muito mais do que o seu código. Tags analíticas, um gerenciador de tags, um widget de suporte, um iframe de pagamento: um checkout moderno carrega dezenas de scripts de terceiros, e qualquer um deles pode ser transformado em um skimmer.
É assim que o Magecart funciona. A Sansec contou mais de 100.000 sites atingidos por skimming na web e ataques à cadeia de suprimentos. Somente a violação da British Airways em 2018 expôs 380.000 transações e uma multa que começou em £ 183 milhões.
A parte perigosa: o código malicioso geralmente chega através de um script que você já aprovou. Os invasores comprometem um fornecedor terceirizado e a carga útil depende de um script que você executa há meses. Nada parece novo. O que mudou foi o comportamento do script, não a sua presença na página.
O PCI DSS v4.0.1 preenche essa lacuna com dois requisitos, agora totalmente em vigor. 6.4.3 diz para inventariar cada script de página de pagamento, autorizá-lo e provar sua integridade. 11.6.1 diz para detectar adulterações no conteúdo da página e nos cabeçalhos HTTP à medida que o navegador os recebe. Feito à mão, em centenas de scripts que mudam constantemente, isso não é escalável. Os dados do Reflectiz mostram que cerca de 30% das alterações nos scripts da página de pagamento em qualquer período de duas semanas.
O que o QSA encontrou
Integrity360 Europe, avaliador de segurança qualificado do PCI e membro da mesa redonda de assessores executivos globais do PCI SSC, analisou a plataforma Reflectiz PCI DSS em relação a ambos os requisitos e descobriu que ela pode efetivamente apoiar a conformidade. Três coisas se destacaram:
Ele observa o comportamento, não apenas os hashes dos arquivos. Uma verificação de hash perde uma troca silenciosa do fornecedor. O Reflectiz captura o script no momento em que começa a buscar os dados do cartão.
Ele é implantado sem agente. Nenhuma alteração de código, nenhum snippet, funciona em dias e continua funcionando por meio de refatoradores e migrações de CMS.
Ele produz evidências prontas para QSA com um clique. Trilha de auditoria completa por página, pronta para avaliação.
O SAQ A pegadinha
Desde janeiro de 2025, os comerciantes podem retirar 6.4.3 e 11.6.1 do SAQ A somente se confirmarem que seu site não é suscetível a ataques de script. Redirecionamento completo para o seu processador? Você provavelmente está bem. Incorporar um iframe de pagamento? Um script na página pai ainda pode sequestrar o checkout antes que os dados cheguem ao quadro seguro, e você precisa provar que isso não é possível. A FAQ nº 1588 do PCI SSC aponta diretamente para esses mesmos controles.
Obtenha a avaliação completa
O white paper completo do Integrity360 Europe detalha os requisitos linha por linha, o fluxo de trabalho de monitoramento e exatamente o que o SAQ A agora exige dos comerciantes de iframe.
Baixe o artigo técnico →
Quando um cliente digita o número do cartão na finalização da compra, o navegador dele está executando muito mais do que o seu código. Tags analíticas, um gerenciador de tags, um widget de suporte, um iframe de pagamento: um checkout moderno carrega dezenas de scripts de terceiros, e qualquer um deles pode ser transformado em um skimmer.
É assim que o Magecart funciona. A Sansec contou mais de 100.000 sites atingidos por skimming na web e ataques à cadeia de suprimentos. Somente a violação da British Airways em 2018 expôs 380.000 transações e uma multa que começou em £ 183 milhões.
A parte perigosa: o código malicioso geralmente chega através de um script que você já aprovou. Os invasores comprometem um fornecedor terceirizado e a carga útil depende de um script que você executa há meses. Nada parece novo. O que mudou foi o comportamento do script, não a sua presença na página.
O PCI DSS v4.0.1 preenche essa lacuna com dois requisitos, agora totalmente em vigor. 6.4.3 diz para inventariar cada script de página de pagamento, autorizá-lo e provar sua integridade. 11.6.1 diz para detectar adulterações no conteúdo da página e nos cabeçalhos HTTP à medida que o navegador os recebe. Feito à mão, em centenas de scripts que mudam constantemente, isso não é escalável. Os dados do Reflectiz mostram que cerca de 30% das alterações nos scripts da página de pagamento em qualquer período de duas semanas.
O que o QSA encontrou
Integrity360 Europe, avaliador de segurança qualificado do PCI e membro da mesa redonda de assessores executivos globais do PCI SSC, analisou a plataforma Reflectiz PCI DSS em relação a ambos os requisitos e descobriu que ela pode efetivamente apoiar a conformidade. Três coisas se destacaram:
Ele observa o comportamento, não apenas os hashes dos arquivos. Uma verificação de hash perde uma troca silenciosa do fornecedor. O Reflectiz captura o script no momento em que começa a buscar os dados do cartão.
Ele é implantado sem agente. Nenhuma alteração de código, nenhum snippet, funciona em dias e continua funcionando por meio de refatoradores e migrações de CMS.
Ele produz evidências prontas para QSA com um clique. Trilha de auditoria completa por página, pronta para avaliação.
O SAQ A pegadinha
Desde janeiro de 2025, os comerciantes podem retirar 6.4.3 e 11.6.1 do SAQ A somente se confirmarem que seu site não é suscetível a ataques de script. Redirecionamento completo para o seu processador? Você provavelmente está bem. Incorporar um iframe de pagamento? Um script na página pai ainda pode sequestrar o checkout antes que os dados cheguem ao quadro seguro, e você precisa provar que isso não é possível. A FAQ nº 1588 do PCI SSC aponta diretamente para esses mesmos controles.
Obtenha a avaliação completa
O white paper completo do Integrity360 Europe detalha os requisitos linha por linha, o fluxo de trabalho de monitoramento e exatamente o que o SAQ A agora exige dos comerciantes de iframe.
Baixe o artigo técnico →
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #os #scripts #na #sua #página #de #checkout #agora #são #um #problema #do #pci #dss
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário