El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) ha lanzado la versión PCI DSS v4.0.1 en junio de 2024, con el objetivo de reforzar la seguridad en los pagos y asegurar una protección integral de las páginas de pago para el comercio electrónico. Esta nueva versión incorpora actualizaciones significativas basadas en los comentarios de los interesados de la versión anterior, PCI DSS 4.0, y resalta la importancia de la adaptación continua en un mundo de seguridad en constante cambio.
Desglosando las últimas actualizaciones de seguridad del lado del cliente en PCI DSS, se destacan las secciones 6.4.3 y 11.6.1, que introducen cambios cruciales:
En la sección 6.4.3, se precisa que en entornos de aplicaciones web altamente dinámicas, la autorización previa de scripts puede ser poco práctica. Por ello, se enfatiza la necesidad de herramientas capaces de detectar nuevos scripts en las páginas de pago y notificar a los equipos de seguridad para su análisis y autorización. Además, se requiere que las organizaciones mantengan un inventario detallado de todos los scripts, junto con una justificación técnica o comercial escrita, subrayando la necesidad de estrictos controles de seguridad sobre los scripts que se ejecutan en las páginas de pago.
Por su parte, la sección 11.6.1 prescribe un enfoque personalizado para monitorear los encabezados HTTP y el contenido de los scripts en las páginas de pago, alertando sobre modificaciones no autorizadas que podrían indicar un compromiso de seguridad o un ataque del lado del cliente.
La implementación de los nuevos estándares de PCI DSS v4.0.1 se facilita con herramientas como Akamai Client-Side Protection & Compliance, que ofrece soluciones avanzadas para mejorar la seguridad de las páginas de pago. Esta herramienta no solo analiza la actividad de los scripts en tiempo real para detectar comportamientos maliciosos, sino que también protege a las organizaciones y sus clientes contra amenazas como el web skimming y los ataques de Magecart.
Entre sus características destacadas, Akamai Client-Side Protection & Compliance proporciona:
- Descubrimiento y catalogación automática: Detecta y cataloga automáticamente todos los scripts en las páginas de pago, alertando sobre scripts no autorizados para su revisión y autorización.
- Especificación de necesidad de scripts: Permite a los equipos de seguridad definir la necesidad de cada script en las páginas de pago, facilitando el cumplimiento de los requisitos de PCI DSS v4.0.1.
- Monitoreo de encabezados HTTP: Monitorea y alerta sobre cambios en los encabezados de seguridad HTTP como X-XSS-Protection y X-Frame-Options, permitiendo una revisión inmediata de los cambios.
Las actualizaciones y aclaraciones de PCI DSS v4.0.1 ponen de relieve la importancia de tener protecciones robustas del lado del cliente, especialmente al integrar iframes de proveedores de pagos. Akamai Client-Side Protection & Compliance garantiza un monitoreo exhaustivo y protección de todos los scripts bajo la responsabilidad de la organización, asegurando tanto el cumplimiento como la mejora de la seguridad para scripts propios y de terceros.
Con Akamai como socio de ciberseguridad, las organizaciones pueden defenderse con confianza contra amenazas cibernéticas como brechas de datos y malware, y combatir a los ciberdelincuentes que intentan capturar información crítica de los clientes y socios. Este enfoque integral fortalece la seguridad organizacional y protege los datos más sensibles en el entorno del comercio electrónico.
