保护客户数据对于接受在线支付信息的任何企业都至关重要。由领先的信用卡公司创建的支付卡行业数据安全标准 (PCI DSS) 建立了保护消费者信息的最佳实践。通过遵守这些标准,企业可以确保其客户的个人和财务信息安全。
PCI DSS 安全标准适用于处理、存储或传输信用卡信息的任何企业。不遵守 PCI DSS 可能会导致信用卡公司处以高额罚款和处罚。它还可能导致客户失去信任,这对任何企业来说都是毁灭性的。
PCI DSS 4.0 于 2022 年 3 月发布,并将于 2025 年 3 月取代当前的 PCI DSS 3.2.1 标准。这为组织提供了三年的过渡期以符合 4.0。
该标准的最新版本将重新关注一个被忽视但至关重要的安全领域。长期以来,客户端威胁(涉及发生在客户计算机上而不是公司服务器或两者之间的安全事件和漏洞)都被忽视了。但随着 PCI DSS 4.0 的发布,这种情况正在发生变化。现在,许多新要求都集中在客户端安全性上。
例如,要求 6.3.2 现在要求公司识别并列出其所有软件,包括嵌入其环境中的任何第三方软件。要求 6.3.3 要求使用可用的安全补丁和更新来更新已知漏洞。要求 6.4.1 指示企业解决与面向公众的 Web 应用程序相关的新威胁和漏洞,并解决所有已知威胁。
此外,要求 6.4.2 指出,应正确配置面向公众的自动化 Web 应用程序,以检测和防止基于 Web 的攻击。它还指出,配置应该积极运行、保持最新,并且能够阻止攻击或生成指示潜在问题的警报。最后,要求 6.4.3 要求组织授权在客户浏览器中加载和执行的任何脚本。
此外,第 11 节和第 12 节对客户端安全有影响,包括识别、确定优先级和解决外部和内部漏洞以及检测和响应网络入侵和意外文件更改。
PCI DSS 4.0 中包含的要求可以在很大程度上帮助提高客户端安全性。尽管传统的安全控制措施(如 Web 应用程序防火墙)可以抵御某些在线威胁,但它们并未将覆盖范围扩展到客户的浏览器。因此,复杂的窃取恶意软件、供应链攻击、旁加载和链加载攻击往往未被发现,使企业容易受到攻击。
虽然内容安全策略有助于确保合规性,但只有在您的 Web 应用程序和网站使用保持稳定的情况下,创建和维护非自动化内容安全策略才是可行的。在动态环境中,CSP 经常会失败,并且由于缺乏有效的解决方案,可能无法确定失败的原因。
为了遵守即将推出的 PCI DSS 4.0,企业必须开始做出改变。这包括弄清楚他们拥有哪些 Web 资产以及它们来自何处、检查代码以及遵循 PCI 4.0 设定的最佳实践。这可能会给使用数千行脚本的大型企业带来问题。对于这些公司,分配时间来筛选和标记代码行可能需要数千小时。
按照这些思路,企业应考虑使用现代安全解决方案来帮助他们实现 PCI 4.0 合规性。自动化的内容安全策略可以检测所有第一方和第三方脚本、数字资产以及它们可以访问的数据。然后他们可以生成相关的内容安全策略。组织还可以阻止未经授权或不需要的网络活动,例如阻止持卡人数据被导出,例如,通过使用监控和管理工具。
PCI DSS 4.0 版的变化意味着在线企业必须采取额外措施来确保其客户数据的安全。想要保持领先于合规曲线的公司现在应该开始做出改变,其中包括在攻击者利用它们之前解决普遍存在的客户端安全风险。
