O skimming de e-commerce, também conhecido como form-jacking ou ataques Magecart, representa a maioria dos ataques criminosos contra dados de cartões de pagamento. Eles são simples de fazer e estão ocultos do comerciante ou varejista e do titular do cartão. É por esse motivo que a versão mais recente do PCI DSS agora contém requisitos destinados a prevenir e detectar esses tipos de ataques.
A versão mais recente do PCI DSS (v4.0) contém dois novos requisitos para proteger e detectar esses ataques de clonagem de comércio eletrônico.
- O primeiro desses requisitos (6.4.3) visa prevenir esses ataques limitando e gerenciando a superfície de ataque, garantindo que as organizações:
Mantenham um inventário de cada script na página de pagamento;
Certifiquem-se de que cada script seja aprovado e que o motivo do uso do script seja documentado;
Garanta a integridade de cada script - para que o script carregado no navegador do consumidor não seja adulterado ou alterado.
- O segundo requisito (11.6.1) exige que as organizações detectem modificações não autorizadas (ou seja, adulteração) de qualquer script e, em seguida, produzam um alerta, para que o script malicioso possa ser revisado pelo proprietário do site.
A plataforma de segurança do lado do cliente da Jscrambler permite a conformidade com ambos os novos requisitos do PCI DSS, fornecendo um inventário de scripts em tempo real, validando a integridade do script e fornecendo um alerta quando um script for adulterado.
Além disso, o Jscrambler dá um passo importante além do requisito e encerrará a execução de qualquer script adulterado, evitando assim um ataque bem-sucedido. Em termos simples, Jscrambler fornece inventário JavaScript, gerenciamento, detecção de adulteração e prevenção de adulteração.
Conheça melhor a solução da Jscrambler para proteger seu website e/ou aplicativos , Javascript em client-side aqui:https://www.goldlock.com.br/jscrambler
Continue lendo o artigo inteiro de John Elliott aqui: https://blog.jscrambler.com/preventing-skimming-attacks-enabling-pci-dss-compliance/
Comentarios