La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) a été élaborée pour encourager et améliorer la sécurité des données des cartes de paiement, ainsi que pour faciliter l’adoption généralisée de mesures cohérentes de protection des données à l’échelle mondiale. La dernière mise à jour de la norme PCI DSS (version 4.0) a été publiée en 2022. Celle-ci entrera en vigueur en mars 2024 et les exigences seront pleinement appliquées dès mars 2025. Elle comprend plusieurs nouvelles exigences en matière de sécurité, ainsi que des directives mises à jour pour prendre en compte les menaces et technologies actuelles. Toute entreprise traitant, stockant ou transmettant des informations de carte de paiement en ligne doit s’y conformer.

Les nouvelles exigences des sections 6.4.3 et 11.6.1 de la norme PCI DSS v4.0 rappellent la nécessité pour les entreprises de se protéger contre les attaques nuisibles de web skimming du côté client final, qui permettent notamment de voler les données sensibles des utilisateurs finaux à partir du navigateur, en exploitant les vulnérabilités dans les chaînes d’approvisionnement JavaScript. Ces attaques, telles que celle ayant touché Magecart, ne cessent de gagner en sophistication et ont un impact sur le commerce digital. Pour se conformer à cette nouvelle norme, les entreprises doivent maintenant savoir quels scripts sont chargés et exécutés sur les pages de paiement de leur site Web, quelles actions ces scripts effectuent et quand ces scripts changent.

La solution Client-Side Protection & Compliance d’Akamai offre une visibilité étendue de la surface d’attaque côté client, afin de protéger les utilisateurs finaux contre l’exfiltration de leurs données, et les sites Web contre les menaces JavaScript. Elle détecte les scripts malveillants en temps réel et envoie des alertes exploitables aux équipes de sécurité, afin qu’elles puissent rapidement contrer les activités nuisibles. Grâce à ses nouvelles fonctionnalités de mise en conformité à la norme PCI DSS v4.0, la solution Client-Side Protection & Compliance aide les équipes de sécurité à rationaliser les flux de travaux de conformité et à répondre aux dernières exigences en matière de sécurité JavaScript.

Les nouvelles fonctionnalités de conformité à la norme PCI DSS v4.0 incluent :
• Gestion de l’inventaire des scripts (répond aux exigences de la section 6.4.3 de la norme PCI DSS v4.0) — Fournit un inventaire de tous les JavaScript chargés et exécutés sur les pages de paiement protégées. Les utilisateurs peuvent facilement enregistrer des justifications écrites pour chaque script observé. La solution automatise autant que possible les paramètres de justification via des justifications et des règles prédéfinies, ce qui réduit considérablement les efforts de conformité.
• Tableau de bord PCI DSS v4.0 (répond aux exigences des sections 6.4.3 et 11.6.1 de la norme PCI DSS v4.0) — Bénéficier d’informations sur la conformité en un clic. Un tableau de bord complet aborde chaque élément des exigences des sections 6.4.3 et 11.6.1 directement dans le produit. Les équipes de sécurité peuvent assurer l’autorisation des scripts et l’intégrité comportementale, agir contre la falsification des pages de paiement et se tenir à jour avec la gestion des inventaires de scripts grâce à une vue unique qui facilite le processus d’audit.
• Alertes PCI dédiées (répond aux exigences des sections 6.4.3 et 11.6.1 de la norme PCI DSS v4.0) — Envoi d’alertes immédiates et exploitables sur les événements liés à la PCI pour une protection en temps réel. Cela inclut les notifications d’exfiltration de données, de scripts non autorisés, de falsification de la protection des pages de paiement configurées et de modifications non autorisées de l’en-tête HTTP. Les alertes sont résumées dans le tableau de bord PCI DSS v4.0 et consignées pour preuve en cas d’audit.

La solution Client-Side Protection & Compliance est un produit agnostique au réseau de diffusion de contenu (CDN) offrant des options de déploiement flexibles. Elle fait partie du portefeuille de solutions de sécurité applicative Web leader du marché d’Akamai et fonctionne parfaitement avec la solution App & API Protector d’Akamai. Les entreprises peuvent regrouper ces produits pour obtenir une protection complète contre les menaces côté serveur et côté client, ainsi que pour répondre à d’autres exigences de la norme PCI DSS v4.0.

Les entreprises de tous les secteurs qui acceptent les paiements en ligne doivent se préparer à l’entrée en vigueur prochaine de la norme PCI DSS v4.0. Le rapport 2023 de Forrester « The State of Application Security » (disponible pour les abonnés Forrester ou à l’achat) indique que la protection des données, pour le client est une technologie clé que les services financiers et les compagnies d’assurance prévoient d’adopter cette année. Aussi, ce rapport indique que « le PCI Security Standards Council a ajouté des exigences de sécurité côté client – il n’est donc pas surprenant de voir les sociétés de services financiers s’empresser d’adopter des protections de code côté client, pour se conformer à la norme PCI DSS et se protéger contre les attaques semblables à celles de Magecart, le détournement de formulaires et le cryptojacking ».