人工智能驱动的工作流程自动化数据管理分析和业务报告
作者：Source Defense

随着 PCI DSS 4.0 的推出，商家现在正努力应对旨在增强持卡人数据安全性的新要求。在由 Source Defense 主办的QSA 圆桌会议上，行业资深人士齐聚一堂，分析这些变化及其对各种规模企业的影响。

了解新要求

PCI DSS 4.0 引入了两 台湾数据 项关键要求——6.4.3 和 11.6.1——重点关注支付页面的安全性。所有处理在线支付的组织必须在 2025 年 3 月之前遵守这些要求。这些要求要求商家确保其支付页面上脚本的授权和完整性，并监控与这些页面相关的内容或标题的任何更改。

Source Defense 解决方案架构师Matt McGuirk强调了这些要求在网络威胁不断演变的背景下的重要性。“我们看到所谓的 Magecart 或客户端攻击有所增加……这是一种发生在网页内的网络安全攻击，不是发生在 Web 应用程序、服务器或数据库中，而是在客户购买时运行时发生的。因此，这是一个需要填补的新空白， ”McGuirk 解释道。

“ DSS 中有很多关于保护服务器、静态文件甚至 TLS SSL 的内容，因为一切都在来回进行。但实际上并没有将浏览器视为一种独特的执行环境， ”他说。“这里的想法是，在存在卡数据的网页上，商家必须有一种机制来确保这些脚本被授权在那里……一种确保这些脚本完整性的机制和维护所有这些脚本的清单， ”McGuirk 说。

扩大范围

圆桌会议中争论最多 [公司名称] 为您准备的特别礼物 的话题之一是这些新要求的范围，尤其是它们如何延伸到第三方甚至第四方服务提供商。范围的扩大反映了一种更全面的“支付流”方法来确保在线交易的安全。

在线业务系统 QSA Jeff Man强调了这一更广泛范围背后的意图。“版本 4 的意图非常明确，至少部分被查看的内容是……商家网站上的网页， ”Man 说。“甚至包括重定向到第三方支付流程或提供 iframe 的页面。因此，版本 4 的目的很大程度上是我们过去所说的电子商务服务器、电子商务页面，而不仅仅是我所说的支付页面，即结帐功能。 ”

自动化工具的作用

鉴于手动管理这些新的安全 加拿大數據 要求的复杂性，小组成员主张采用可以简化合规性并增强安全性的自动化工具。

Intersec Worldwide 合规服务副总裁Richard Haag强调了自动化的必要性。“我们确实鼓励我们的客户使用这些工具， ”Haag 说。“我认为我们的许多大客户都在寻找能够在一定程度上实现自动化的工具，并捕获授权并记录正在发生的事情。这些脚本和页面会发生变化，试图在电子表格中跟踪这类内容是行不通的。 ”

“当自动化工具能够分析、识别和分类所有这些脚本时，深入了解您的网站及其上运行的内容将变得更加容易， ”McGuirk 说。“除了用于验证的工作流程外，这些工具还应以高效的方式确保脚本的完整性并减少总体工作量。 ”