梦之队圆桌会议2
作者：Source Defense

随着 PCI DSS 4.0 的推出，商家现在正努力应对旨在增强持卡人数据安全性的新要求。在Source Defense最近举办的圆桌会议上，业内资深人士齐聚一堂，分析这些变化及其对各种规模企业的影响。

了解新要求

PCI DSS 4.0 引入了两 台湾数据 项关键要求——6.4.3 和 11.6.1——重点关注支付页面的安全性。所有处理在线支付的组织必须在 2025 年 3 月之前遵守这些要求。这些要求要求商家确保其支付页面上脚本的授权和完整性，并监控与这些页面相关的内容或标题的任何更改。

Source Defense 解决方案架构师 Matt McGuirk强调了这些要求在网络威胁不断演变的背景下的重要性。“我们看到我称之为 Magecart 或客户端攻击的现象有所增加……这种网络安全攻击发生在网页内，不是在 Web 应用程序、服务器或数据库中，而是在客户购买时运行时发生的。因此，这是一个需要填补的新空白，”McGuirk 解释道。

“DSS 中有很多关于保护服务器、静态文件甚至 TLS SSL 的内容，因为一切都在来回进行。但实际上并没有将浏览器视为一种独特的执行环境，”他说。“这里的想法是，在存在卡数据的网页上，商家必须有一种机制来确保这些脚本被授权在那里……一种确保这些脚本完整性的机制和维护所有这些脚本的清单，”McGuirk 说。

扩大范围

圆桌会议中争论最多的 这种多元化的搭配可以 话题之一是这些新要求的范围，尤其是它们如何延伸到第三方甚至第四方服务提供商。范围的扩大反映了一种更全面的“支付流”方法来确保在线交易的安全。

在线业务系统 QSA Jeff Man强调了这一更广泛范围背后的意图。“版本 4 的意图非常明确，至少部分被查看的内容是……商家网站上的网页，”Man 说。“甚至包括重定向到第三方支付流程或提供 iframe 的页面。因此，版本 4 的目的主要是我们过去所说的电子商务服务器、电子商务页面，而不仅仅是我所说的支付页面，即结账功能。”

自动化工具的作用

鉴于手动管理这些新的安 广告库 全要求的复杂性，小组成员主张采用可以简化合规性并增强安全性的自动化工具。

Intersec Worldwide 合规服务副总裁 Richard Haag强调了自动化的必要性。“我们确实鼓励我们的客户使用这些工具，”Haag 说。“我认为我们的许多大客户都在寻找能够在一定程度上实现自动化并捕获授权和记录正在发生的事情的工具。这些脚本和页面会发生变化，试图在电子表格中跟踪这类内容是行不通的。”

McGuirk 表示：“当自动化工具能够分析、识别和分类所有这些脚本时，深入了解您的网站及其上运行的内容将变得更加容易。除了用于验证的工作流程外，这些工具还应以高效的方式确保脚本的完整性并减少总体工作量。”

小商户面临的挑战

虽然大型企业可能有资源来迎头应对这些新要求，但小型商家却面临重大障碍。圆桌讨论强调了小型企业受到的不成比例的影响以及定制解决方案的必要性。

AT&T 网络安全部门全国实践负责人罗伯特·戴维森 (Robert Davidson)表达了对小型实体的担忧。“对于小公司来说……我认为这对于大多数这些要求的实施来说都是一个挑战，”他说。“组织越小，这种痛苦就越大。”