En el mundo actual del e-commerce (comercio electr\u00f3nico), la seguridad de los datos de pago es primordial. Un tipo de amenaza que ha aumentado significativamente en los \u00faltimos a\u00f1os es el e-skimming, donde atacantes buscan robar informaci\u00f3n de tarjetas de pago directamente desde los navegadores de los clientes. A medida que las plataformas de e-commerce se vuelven m\u00e1s complejas y dependen de scripts externos, estos ataques se han vuelto m\u00e1s comunes.<\/p>\n
Este blog se basa en la gu\u00eda del PCI Security Standards Council para comprender y abordar los Requisitos 6.4.3 y 11.6.1 del PCI DSS versi\u00f3n 4.x, los cuales est\u00e1n dise\u00f1ados para mitigar los riesgos de e-skimming.<\/p>\n
Los sitios web de e-commerce modernos a menudo utilizan una gran cantidad de scripts para diversas funcionalidades, muchos de ellos provenientes de terceros. Si estos scripts no se gestionan correctamente, pueden convertirse en una puerta de entrada para los atacantes.
\nExisten varios tipos de ataques de skimming que afectan un e-commerce, incluyendo:<\/p>\n
Para combatir estas amenazas en los e-commerce, el PCI DSS v4.0 introdujo los requisitos 6.4.3 y 11.6.1.<\/p>\n
Requisito 6.4.3:<\/strong> Se centra en la gesti\u00f3n de todos los scripts de la p\u00e1gina de pago que se cargan y ejecutan en el navegador del consumidor. Este requisito tiene tres elementos clave:<\/p>\n Requisito 11.6.1:<\/strong> Requiere la implementaci\u00f3n de un mecanismo de detecci\u00f3n de cambios y manipulaciones para alertar al personal sobre modificaciones no autorizadas (incluyendo indicadores de compromiso, cambios, adiciones y eliminaciones) en los encabezados HTTP que impactan la seguridad y el contenido de los scripts de las p\u00e1ginas de pago tal como los recibe el navegador del consumidor. Este mecanismo debe evaluar los encabezados HTTP y las p\u00e1ginas de pago al menos semanalmente o con una frecuencia definida en un an\u00e1lisis de riesgos espec\u00edfico.<\/p>\n La gu\u00eda proporciona varias aproximaciones, mejores pr\u00e1cticas, controles y t\u00e9cnicas para ayudar a cumplir con estos requisitos. Algunas de ellas incluyen:<\/p>\n La aplicabilidad de estos requisitos y las responsabilidades de los comerciantes y los Proveedores de Servicios de Terceros (TPSPs) var\u00edan seg\u00fan c\u00f3mo se implementan las soluciones de pago. Por ejemplo, en escenarios de sitios web totalmente subcontratados, el comerciante podr\u00eda no tener responsabilidades directas relacionadas con estos requisitos, mientras que el TPSP s\u00ed las tendr\u00eda. Es crucial entender el alcance del PCI DSS en entornos de e-commerce, especialmente en aplicaciones de una sola p\u00e1gina (SPAs) donde todos los scripts dentro de la aplicaci\u00f3n se consideran parte del mismo entorno.<\/p>\n Para demostrar el cumplimiento de estos requisitos durante una evaluaci\u00f3n PCI DSS, las entidades deben tener disponible documentaci\u00f3n sobre sus pol\u00edticas, procedimientos, inventarios de scripts, registros de autorizaci\u00f3n y configuraciones de sistemas. Los evaluadores buscar\u00e1n evidencia de que los procesos definidos se siguen y que los mecanismos de detecci\u00f3n est\u00e1n configurados y funcionando correctamente.\n
\u00bfC\u00f3mo cumplir con estos requisitos?<\/h2>\n
\n
Responsabilidades y Aplicabilidad<\/h2>\n
Evidencia de Cumplimiento<\/h2>\n
\nEn resumen, la protecci\u00f3n contra el e-skimming es esencial para cualquier negocio de e-commerce. Comprender e implementar los Requisitos PCI DSS 6.4.3 y 11.6.1, junto con las mejores pr\u00e1cticas y t\u00e9cnicas descritas en esta gu\u00eda, ayudar\u00e1 a reducir significativamente el riesgo de robo de datos de pago y a mantener la confianza de tus clientes<\/p>\nSource: pcisecuritystandards<\/a><\/h5>\n