Que es PCI DSS?
Language

PCI DSS

Aprende como usar cside para cumplir con los requisitos de PCI DSS 4.0.1 para el monitoreo de scripts del lado del cliente (6.4.3) y la observabilidad de cabeceras (11.6.1).

Disponibilidad del plan

El panel de PCI DSS esta disponible en todos los planes.

Que es PCI DSS?

El Estandar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de directrices que garantiza la seguridad de las transacciones con tarjeta a nivel mundial. Creado por el Consejo de Estandares de Seguridad PCI, su objetivo es proteger contra el robo de datos y el fraude en transacciones con tarjetas de debito y credito.

Los requisitos 6.4.3 y 11.6.1 son parte de PCI DSS v4.0.1. Puedes leer la especificacion completa en el sitio web del Consejo de Estandares de Seguridad PCI.

Requisito 6.4.3: Observabilidad de scripts

PCI DSS 4.0.1 requiere que todos los scripts, incluyendo scripts de terceros, sean monitoreados para detectar cambios. Esto asegura que los cambios no autorizados en los scripts sean detectados y abordados rapidamente.

Para cumplir con los requisitos 6.4.3, debes:

  • Confirmar que los scripts de terceros estan autorizados
  • Asegurar la integridad de los scripts
  • Mantener un inventario con justificaciones escritas

cside proporciona funciones integrales de observabilidad de scripts que te ayudan a cumplir estos requisitos a traves del panel de PCI DSS.

Requisito 11.6.1: Observabilidad de cabeceras

Junto con 6.4.3, tambien debes cumplir con los requisitos 11.6.1, que exigen monitorear las cabeceras HTTP para detectar cambios en las paginas de pago.

Para cumplir con los requisitos 11.6.1, debes:

  • Alertar al personal sobre cambios no autorizados en las cabeceras HTTP
  • Evaluar las cabeceras HTTP recibidas y las paginas de pago
  • Operar al menos semanalmente o segun el analisis de riesgos de tu entidad (referenciado por 12.3.1)

Para acceder al panel de PCI DSS:

  1. Selecciona tu dominio desde la barra lateral
  2. Selecciona PCI DSS

PCI DSS en la barra lateral

Configurar paginas de pago

Antes de comenzar a usar el panel de PCI DSS, necesitas identificar tus paginas de pago. Esto ayuda a filtrar los datos para que puedas enfocarte en scripts y cabeceras relacionadas con pagos.

Configuracion de PCI DSS

  1. Haz clic en Add a Payment Page o + Add Payment Page
  2. Ingresa la URL de la pagina de pago usando el formato de coincidencia de patrones de scripts

Agregar pagina de pago

  1. Haz clic en Create
Quieres que se muestren todos los scripts?

Si quieres que todos los scripts se incluyan en tu panel de PCI, usa un patron que coincida con todo.

Configuracion de pagina vs modal

Hay dos opciones principales de configuracion segun tu implementacion de pagos:

Configuracion de pagina

Usa esta opcion si tus paginas de pago son:

  • Renderizadas del lado del servidor (SSR)
  • Cargadas a traves de una recarga/navegacion de pagina
  • Aisladas de scripts presentes durante la navegacion del lado del cliente

Esta configuracion filtra la lista de scripts para mostrar solo los scripts presentes en las paginas de pago designadas.

Configuracion de modal

Usa esta opcion si tus formularios de pago se implementan a traves de:

  • Ventanas modales
  • Widgets emergentes
  • Superposiciones de paywall
  • Cualquier interfaz dinamica donde los pagos se pueden procesar en multiples paginas

Esta configuracion monitorea scripts en toda tu aplicacion ya que los formularios de pago pueden aparecer en cualquier pagina.

Configura usando un selector CSS que identifique tu modal/formulario de pago.

Selector de ejemplo:

#pay

El panel mostrara todos los scripts que podrian potencialmente interactuar con el formulario de pago cuando esta activo.

Requisito PCI DSS 11.6.1

Para cumplir con el requisito PCI DSS 11.6.1, cside monitorea las 14 cabeceras que impactan la seguridad cuando los visitantes acceden a tus paginas de pago. Esto ayuda a asegurar que tus cabeceras de seguridad esten correctamente configuradas y mantenidas para proteger los datos de pago.

Las siguientes cabeceras de seguridad son monitoreadas:

  • Content Security Policy
  • Content Security Policy Report Only
  • Report To
  • Reporting Endpoints
  • Strict Transport Security
  • X-Frame-Options
  • Cross-Origin Resource Policy
  • Cross-Origin Opener Policy
  • Cross-Origin Embedder Policy
  • Permissions Policy
  • X-Content-Type-Options
  • X-Permitted-Cross-Domain-Policies
  • Referrer Policy
  • X-XSS-Protection

Los cambios en las cabeceras se incluyen en tu informe semanal de PCI DSS. Los informes deben enviarse al menos semanalmente para cumplir con los requisitos de cumplimiento. Los informes tambien estan disponibles bajo demanda en la pestana de informes dentro de la vista PCI DSS. Pronto, podras optar por recibir notificaciones cuando se detecten cambios en las cabeceras en tiempo real.

Las cabeceras de seguridad son tipicamente estaticas para la mayoria de los sitios web. Sin embargo, algunos proxies web inyectan cabeceras durante el muestreo, lo que puede resultar en informes ruidosos.

Si tus paginas de pago estan detras de una VPN o en un entorno restringido, podemos proporcionarte una direccion IP estatica para habilitar las verificaciones de cabeceras.