Qu’est-ce que PCI DSS ?
Language

PCI DSS

Apprenez a utiliser cside pour repondre aux exigences PCI DSS 4.0.1 en matiere de surveillance des scripts cote client (6.4.3) et d'observabilite des en-tetes (11.6.1).

Disponibilite du forfait

Le tableau de bord PCI DSS est disponible sur tous les forfaits.

Qu’est-ce que PCI DSS ?

Le Payment Card Industry Data Security Standard (PCI DSS) est un ensemble de directives qui garantit la securite des transactions par carte a l’echelle mondiale. Cree par le PCI Security Standards Council, son objectif est de proteger contre le vol de donnees et la fraude dans les transactions par carte de debit et de credit.

Les exigences 6.4.3 et 11.6.1 font partie de PCI DSS v4.0.1. Vous pouvez lire la specification complete sur le site web du PCI Security Standards Council.

Exigence 6.4.3 : Observabilite des scripts

PCI DSS 4.0.1 exige que tous les scripts, y compris les scripts tiers, soient surveilles pour detecter les modifications. Cela garantit que les modifications non autorisees des scripts sont detectees et traitees rapidement.

Pour repondre aux exigences 6.4.3, vous devez :

  • Confirmer que les scripts tiers sont autorises
  • Assurer l’integrite des scripts
  • Maintenir un inventaire avec des justifications ecrites

cside fournit des fonctionnalites completes d’observabilite des scripts qui vous aident a repondre a ces exigences via le tableau de bord PCI DSS.

Exigence 11.6.1 : Observabilite des en-tetes

En plus de 6.4.3, vous devez egalement vous conformer aux exigences 11.6.1, qui imposent la surveillance des en-tetes HTTP pour detecter les modifications sur les pages de paiement.

Pour repondre aux exigences 11.6.1, vous devez :

  • Alerter le personnel en cas de modifications non autorisees des en-tetes HTTP
  • Evaluer les en-tetes HTTP recus et les pages de paiement
  • Operer au moins hebdomadairement ou selon l’analyse des risques de votre entite (reference 12.3.1)

Pour acceder au tableau de bord PCI DSS :

  1. Selectionnez votre domaine dans la barre laterale
  2. Selectionnez PCI DSS

PCI DSS dans la barre laterale

Configurer les pages de paiement

Avant de commencer a utiliser le tableau de bord PCI DSS, vous devez identifier vos pages de paiement. Cela permet de filtrer les donnees pour que vous puissiez vous concentrer sur les scripts et en-tetes lies au paiement.

Configuration PCI DSS

  1. Cliquez sur Ajouter une page de paiement ou + Ajouter une page de paiement
  2. Entrez l’URL de la page de paiement en utilisant le format de correspondance de motifs de scripts

Ajouter une page de paiement

  1. Cliquez sur Creer
Vous voulez afficher tous les scripts ?

Si vous souhaitez que tous les scripts soient inclus dans votre tableau de bord PCI, utilisez un motif qui correspond a tout.

Configuration par page vs par modale

Il existe deux options principales de configuration selon votre implementation de paiement :

Configuration par page

Utilisez cette option si vos pages de paiement sont :

  • Rendues cote serveur (SSR)
  • Chargees lors d’un rechargement/navigation de page
  • Isolees des scripts presents lors de la navigation cote client

Cette configuration filtre la liste des scripts pour n’afficher que les scripts presents sur les pages de paiement designees.

Configuration par modale

Utilisez cette option si vos formulaires de paiement sont implementes via :

  • Des fenetres modales
  • Des widgets popup
  • Des overlays de paywall
  • Toute interface dynamique ou les paiements peuvent etre traites sur plusieurs pages

Cette configuration surveille les scripts sur l’ensemble de votre application puisque les formulaires de paiement peuvent apparaitre sur n’importe quelle page.

Configurez en utilisant un selecteur CSS qui identifie votre modale/formulaire de paiement.

Exemple de selecteur :

#pay

Le tableau de bord affichera tous les scripts susceptibles d’interagir avec le formulaire de paiement lorsqu’il est actif.

Exigence PCI DSS 11.6.1

Pour repondre a l’exigence PCI DSS 11.6.1, cside surveille les 14 en-tetes ayant un impact sur la securite lorsque les visiteurs accedent a vos pages de paiement. Cela permet de garantir que vos en-tetes de securite sont correctement configures et maintenus pour proteger les donnees de paiement.

Les en-tetes de securite suivants sont surveilles :

  • Content Security Policy
  • Content Security Policy Report Only
  • Report To
  • Reporting Endpoints
  • Strict Transport Security
  • X-Frame-Options
  • Cross-Origin Resource Policy
  • Cross-Origin Opener Policy
  • Cross-Origin Embedder Policy
  • Permissions Policy
  • X-Content-Type-Options
  • X-Permitted-Cross-Domain-Policies
  • Referrer Policy
  • X-XSS-Protection

Les modifications d’en-tetes sont incluses dans votre rapport PCI DSS hebdomadaire. Les rapports doivent etre envoyes au moins chaque semaine pour repondre aux exigences de conformite. Les rapports sont egalement disponibles sur demande dans l’onglet des rapports sous la vue PCI DSS. Bientot, vous pourrez choisir de recevoir des notifications lorsque des modifications d’en-tetes sont detectees en temps reel.

Les en-tetes de securite sont generalement statiques pour la plupart des sites web. Cependant, certains proxys web injectent des en-tetes lors de l’echantillonnage, ce qui peut entrainer des rapports bruites.

Si vos pages de paiement sont derriere un VPN ou dans un environnement verrouille, nous pouvons fournir une adresse IP statique pour permettre les verifications d’en-tetes.