O que é PCI DSS?
Language

PCI DSS

Aprenda como usar o cside para atender aos requisitos do PCI DSS 4.0.1 para monitoramento de scripts do lado do cliente (6.4.3) e observabilidade de headers (11.6.1).

Disponibilidade do plano

O painel PCI DSS está disponível em todos os planos.

O que é PCI DSS?

O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de diretrizes que garante a segurança das transações com cartão globalmente. Criado pelo PCI Security Standards Council, seu objetivo é proteger contra roubo de dados e fraudes em transações com cartões de débito e crédito.

Os requisitos 6.4.3 e 11.6.1 fazem parte do PCI DSS v4.0.1. Você pode ler a especificação completa no site do PCI Security Standards Council.

Requisito 6.4.3: Observabilidade de Scripts

O PCI DSS 4.0.1 exige que todos os scripts, incluindo scripts de terceiros, sejam monitorados para alterações. Isso garante que alterações não autorizadas nos scripts sejam detectadas e tratadas prontamente.

Para atender aos requisitos do 6.4.3, você deve:

  • Confirmar que scripts de terceiros estão autorizados
  • Assegurar a integridade dos scripts
  • Manter um inventário com justificativas escritas

O cside fornece recursos abrangentes de observabilidade de scripts que ajudam você a atender a esses requisitos através do painel PCI DSS.

Requisito 11.6.1: Observabilidade de Headers

Junto com o 6.4.3, você também deve cumprir os requisitos do 11.6.1, que determinam o monitoramento de headers HTTP para alterações em páginas de pagamento.

Para atender aos requisitos do 11.6.1, você deve:

  • Alertar o pessoal sobre alterações não autorizadas em headers HTTP
  • Avaliar headers HTTP recebidos e páginas de pagamento
  • Operar pelo menos semanalmente ou conforme a análise de risco da sua entidade (referenciado pelo 12.3.1)

Para acessar o painel PCI DSS, abra o painel e então:

  1. Selecione seu domínio na barra lateral
  2. Selecione PCI DSS

PCI DSS na barra lateral

Configurando Páginas de Pagamento

Antes de começar a usar o Painel PCI DSS, você precisa identificar suas páginas de pagamento. Isso ajuda a filtrar os dados para que você possa focar em scripts e headers relacionados a pagamentos.

Configuração PCI DSS

  1. Clique em Add a Payment Page ou + Add Payment Page
  2. Insira a URL da página de pagamento usando o formato de correspondência de padrões de scripts

Adicionar página de pagamento

  1. Clique em Create
Quer que todos os scripts sejam exibidos?

Se você deseja que todos os scripts sejam incluídos no seu painel PCI, use um padrão que corresponda a tudo.

Configuração de Página vs Modal

Existem duas opções principais de configuração dependendo da sua implementação de pagamento:

Configuração de Página

Use esta opção se suas páginas de pagamento são:

  • Renderizadas no servidor (SSR)
  • Carregadas através de recarregamento/navegação de página
  • Isoladas de scripts presentes durante a navegação do lado do cliente

Esta configuração filtra a lista de scripts para mostrar apenas os scripts presentes nas páginas de pagamento designadas.

Configuração de Modal

Use esta opção se seus formulários de pagamento são implementados através de:

  • Janelas modais
  • Widgets popup
  • Overlays de paywall
  • Qualquer UI dinâmica onde pagamentos podem ser processados em múltiplas páginas

Esta configuração monitora scripts em toda a sua aplicação, já que formulários de pagamento podem aparecer em qualquer página.

Configure usando um seletor CSS que identifica seu modal/formulário de pagamento.

Exemplo de seletor:

#pay

O painel exibirá todos os scripts que podem potencialmente interagir com o formulário de pagamento quando ele está ativo.

Requisito PCI DSS 11.6.1

Para atender ao requisito PCI DSS 11.6.1, o cside monitora todos os 14 headers que impactam a segurança quando visitantes acessam suas páginas de pagamento. Isso ajuda a garantir que seus headers de segurança estejam corretamente configurados e mantidos para proteger dados de pagamento.

Os seguintes headers de segurança são monitorados:

  • Content Security Policy
  • Content Security Policy Report Only
  • Report To
  • Reporting Endpoints
  • Strict Transport Security
  • X-Frame-Options
  • Cross-Origin Resource Policy
  • Cross-Origin Opener Policy
  • Cross-Origin Embedder Policy
  • Permissions Policy
  • X-Content-Type-Options
  • X-Permitted-Cross-Domain-Policies
  • Referrer Policy
  • X-XSS-Protection

Alterações nos headers são incluídas no seu relatório semanal de PCI DSS. Os relatórios devem ser enviados pelo menos semanalmente para atender aos requisitos de conformidade. Os relatórios também estão disponíveis sob demanda na aba de relatórios dentro da visualização PCI DSS. Em breve, você poderá optar por receber notificações quando alterações nos headers forem detectadas em tempo real.

Os headers de segurança são tipicamente estáticos para a maioria dos sites. No entanto, alguns proxies web injetam headers durante a amostragem, o que pode resultar em relatórios ruidosos.

Se suas páginas de pagamento estão atrás de uma VPN ou em um ambiente restrito, podemos fornecer um endereço IP estático para habilitar verificações de headers.