PCI Güvenlik Standartları Konseyi’ne (PCI SSC) katılan başlıca kuruluşlardan biri olan Jscrambler, şirketlerin JavaScript’lerini kontrol etmelerine ve onu en son PCI DSS standardı sürüm 4.0 ile uyumlu hale getirmelerine yardımcı olacak ücretsiz bir araç yayınladı.
Başından beri e-ticaret, ihale ödemeleri için kredi kartlarına dayanıyordu. İşlemleri korumak için, 2004 yılında büyük kredi kartı şirketleri bir araya gelerek Ödeme Kartı Endüstrisi Veri Güvenliği Standardını oluşturdu. (PCI DSS) 1.0. O zamandan beri tüccarlar, bankalar, geliştiriciler ve diğer kurumlar yönünü şekillendirmek için katıldı. PCI SSC, Mart 2022’de PCI DSS v4.0’ı yayınlayarak önceki sürümün (v3.2.1) iki yıllık aşamalı olarak kullanımdan kaldırılmasını başlattı. Gelecek yıl – 31 Mart 2025 – standarda uyan herkesin standartla uyumlu olması gerekecek. PCI DSS 4.0’ın özellikleri.
Jscrambler’ın aracı, v4.0’ın iki bölümünü ele alır: bir satıcıdan veya onun üçüncü ve dördüncü taraf yüklenicilerinden gelen tüm komut dosyalarına yönelik saldırılara karşı koruma (6.4.3) ve tespit etme (11.6.1) ile ilgili olanlar. Bölüm 6.4.3, şirketlerin her komut dosyasının yetkilendirildiğini onaylamasını, komut dosyalarının bütünlüğünü sağlamasını ve her komut dosyasının neden gerekli olduğunu açıklayan eksiksiz bir envanter tutmasını gerektirir. Bölüm 11.6.1, web sitelerinde bir üçüncü şahsın iframe ödeme formuna yer veren satıcılar için geçerlidir; periyodik olarak (genellikle her yedi günde bir) HTTP üst bilgisi ve ödeme sayfasının değerlendirilmesini zorunlu kılar ve sayfadaki değişiklikleri satıcıya bildirir.
Jscrambler aracı, bir tüccarın sitesindeki tüm komut dosyalarını arar ve derler, komut dosyası doğrulaması ve yetkilendirmesi gerçekleştirir ve uyumluluk durumu da dahil olmak üzere sonuçları günlüğe kaydeder. Şüpheli olarak kabul edilen eylemleri vurgulayarak her komut dosyasını görselleştirir. Komut dosyalarını işlev açısından analiz eder ve her birini kullanmak için gerekçeler üretir. Komut dosyalarına müdahale edildiğinde, ödeme sayfasının içeriği yetkilendirilmeden değiştirildiğinde ve HTTP başlığı değiştirildiğinde uyarılar tetiklenir. Şirket, tüm bu işlevlerin manuel uyumluluk çabalarını azalttığını ve denetime hazır raporların oluşturulmasına yardımcı olduğunu söyledi.
Ücretsiz PCI DSS JavaScript Uyumluluk Aracı Jscrambler web sitesinden edinilebilir. Bir PCI SSC ortak katılımcı kuruluşu olan Source Defense, bir benzer ücretsiz araç bu aydan daha erken. Her iki araç da kayıt gerektirir.
En son siber güvenlik tehditlerini, yeni keşfedilen güvenlik açıklarını, veri ihlali bilgilerini ve ortaya çıkan trendleri takip edin. Günlük veya haftalık olarak doğrudan e-posta gelen kutunuza teslim edilir.
Abone