Wat is PCI DSS?
Language

PCI DSS

Leer hoe u cside gebruikt om te voldoen aan PCI DSS 4.0.1-vereisten voor client-side scriptmonitoring (6.4.3) en header-observeerbaarheid (11.6.1).

Planbeschikbaarheid

Het PCI DSS-dashboard is beschikbaar op alle plannen.

Wat is PCI DSS?

De Payment Card Industry Data Security Standard (PCI DSS) is een set richtlijnen die de veiligheid van kaarttransacties wereldwijd waarborgt. Opgericht door de PCI Security Standards Council, is het doel om te beschermen tegen gegevensdiefstal en fraude bij debet- en creditcardtransacties.

De vereisten 6.4.3 en 11.6.1 maken deel uit van PCI DSS v4.0.1. U kunt de volledige specificatie lezen op de PCI Security Standards Council website.

Vereiste 6.4.3: Script-observeerbaarheid

PCI DSS 4.0.1 vereist dat alle scripts, inclusief third-party scripts, worden gemonitord op wijzigingen. Dit waarborgt dat ongeautoriseerde wijzigingen aan scripts worden gedetecteerd en snel worden aangepakt.

Om aan 6.4.3-vereisten te voldoen, moet u:

  • Bevestigen dat third-party scripts geautoriseerd zijn
  • De integriteit van scripts waarborgen
  • Een inventaris bijhouden met schriftelijke onderbouwingen

cside biedt uitgebreide script-observeerbaarheidsfuncties die u helpen aan deze vereisten te voldoen via het PCI DSS-dashboard.

Vereiste 11.6.1: Header-observeerbaarheid

Naast 6.4.3 moet u ook voldoen aan 11.6.1-vereisten, die het monitoren van HTTP-headers op wijzigingen op betalingspagina’s verplichten.

Om aan 11.6.1-vereisten te voldoen, moet u:

  • Personeel waarschuwen bij ongeautoriseerde wijzigingen aan HTTP-headers
  • Ontvangen HTTP-headers en betalingspagina’s evalueren
  • Minimaal wekelijks uitvoeren of volgens de risicoanalyse van uw organisatie (verwezen door 12.3.1)

Om toegang te krijgen tot het PCI DSS-dashboard:

  1. Selecteer uw domein in de zijbalk
  2. Selecteer PCI DSS

PCI DSS in zijbalk

Betalingspagina’s instellen

Voordat u het PCI DSS-dashboard gaat gebruiken, moet u uw betalingspagina’s identificeren. Dit helpt de gegevens te filteren zodat u zich kunt concentreren op betalingsgerelateerde scripts en headers.

PCI DSS-configuratie

  1. Klik op Betalingspagina toevoegen of + Betalingspagina toevoegen
  2. Voer de URL van de betalingspagina in met het script-patroonherkenningsformaat

Betalingspagina toevoegen

  1. Klik op Aanmaken
Wilt u alle scripts tonen?

Als u wilt dat alle scripts worden opgenomen in uw PCI-dashboard, gebruik dan een patroon dat alles matcht.

Pagina- vs. modale setup

Er zijn twee hoofdopties voor de setup, afhankelijk van uw betalingsimplementatie:

Pagina-setup

Gebruik deze optie als uw betalingspagina’s:

  • Server-side gerenderd zijn (SSR)
  • Geladen worden via een paginaherlaad/navigatie
  • Geisoleerd zijn van scripts die aanwezig zijn tijdens client-side navigatie

Deze setup filtert de scriptlijst om alleen scripts te tonen die aanwezig zijn op aangewezen betalingspagina’s.

Modale setup

Gebruik deze optie als uw betalingsformulieren zijn geimplementeerd via:

  • Modale vensters
  • Popup-widgets
  • Paywall-overlays
  • Elke dynamische UI waar betalingen op meerdere pagina’s kunnen worden verwerkt

Deze setup monitort scripts in uw gehele applicatie, aangezien betalingsformulieren op elke pagina kunnen verschijnen.

Configureer met een CSS-selector die uw betalingsmodaal/-formulier identificeert.

Voorbeeld-selector:

#pay

Het dashboard toont alle scripts die mogelijk interactie kunnen hebben met het betalingsformulier wanneer het actief is.

PCI DSS-vereiste 11.6.1

Om te voldoen aan PCI DSS-vereiste 11.6.1, monitort cside alle 14 beveiligingsimpacterende headers wanneer bezoekers uw betalingspagina’s bezoeken. Dit helpt waarborgen dat uw beveiligingsheaders correct zijn geconfigureerd en onderhouden om betalingsgegevens te beschermen.

De volgende beveiligingsheaders worden gemonitord:

  • Content Security Policy
  • Content Security Policy Report Only
  • Report To
  • Reporting Endpoints
  • Strict Transport Security
  • X-Frame-Options
  • Cross-Origin Resource Policy
  • Cross-Origin Opener Policy
  • Cross-Origin Embedder Policy
  • Permissions Policy
  • X-Content-Type-Options
  • X-Permitted-Cross-Domain-Policies
  • Referrer Policy
  • X-XSS-Protection

Headerwijzigingen worden opgenomen in uw wekelijkse PCI DSS-rapport. Rapporten moeten minimaal wekelijks worden verzonden om aan compliancevereisten te voldoen. De rapporten zijn ook op aanvraag beschikbaar in het tabblad rapporten onder de PCI DSS-weergave. Binnenkort kunt u ervoor kiezen om notificaties te ontvangen wanneer headerwijzigingen in realtime worden gedetecteerd.

Beveiligingsheaders zijn doorgaans statisch voor de meeste websites. Sommige webproxy’s injecteren echter headers tijdens sampling, wat kan resulteren in storende rapportage.

Als uw betalingspagina’s achter een VPN zitten of in een vergrendelde omgeving, kunnen wij een statisch IP-adres verstrekken om headercontroles mogelijk te maken.