QSA-圆桌会议-8 月 15 日
作者：Source Defense

随着 2025 年 3 月 PCI DSS 4.0 合规截止日期的临近，组织面临着越来越大的压力，需要满足新的要求，尤其是 6.4.3 和 11.6.1 中的 eSkimming（客户端安全）要求。在企业为这些变化做准备时，从合格安全评估员 (QSA) 那里获得有关合规期望和必要文档的见解至关重要。这些专家提供了宝贵的指导，帮助您应对 PCI DSS 4.0 的复杂性，确保组织在截止日期到来时做好充分准备。

Source Defense 是 eSkimming Security 的先驱，最近举办了另一场 QSA 圆桌会议，顶级行业专家在会上讨论了确保符合 PCI DSS v4.0 的关键方面，特别关注要求 6.4.3 和 11.6.1。

座谈会的主题包括：

Gil Eng，IBM 网 台湾数据 络安全服务执行顾问
Aaron Getchius , Insight Assurance PCI 实践负责人
Dustin Rich，A-Lign PCI 实践主管、主任
Ty Huelle，Optiv PCI 咨询服务技术经理
Source Defense 现场工程主管Matt McGuirk
eSkimming/客户端安全的重要性日益增加
PCI DSS v4.0 中最重要的发展之一是更加强调 eSkimming 安全性。随着 Web 应用程序变得越来越复杂，攻击者利用漏洞的方法也越来越多。JavaScript 是现代 Web 应用程序的支柱，也是这个问题的核心。

扩大范围：PCI DSS v4.0 要求

PCI DSS v4.0 的推出扩大 他们的专家意见将加强您的案子 了合规范围，尤其是在电子商务安全方面。这一扩展意味着，即使是以前依赖 iframe 或重定向到第三方支付处理器的网站现在也必须实施控制来监控和保护客户端脚本。

A-Lign 总监兼 PCI 实践负责人 Dustin Rich 表示： “现在，如果您在具有 iframe 或重定向链接的 Web 服务器平台上拥有任何类型的管理功能，那么您就需要像 Source Defense 这样的产品来实现这一点。”这一变化反映了人们日益认识到必须保护 Web 应用程序的所有元素（包括客户端元素），以防范复杂的攻击。

讨论还强调了扩大范围带来的挑战。以前因使用第三方支付处理器而认为自己超出范围的组织现在发现，他们必须采取额外措施来确保合规性。这包括监控其网站上的脚本，即使支付处理是在外部进行的。

实施挑战：满足新要求

实施 PCI DSS v4.0 的 广告库 新要求带来了重大挑战，特别是对于管理动态和复杂网络环境的组织而言。讨论的一个核心挑战是维护支付页面上活动脚本的最新清单，确保每个脚本都经过授权并且其完整性得到验证。

Insight Assurance 的 PCI 实践负责人 Aaron Getchius 表示： “我的一位客户说，他们花了六个月的时间试图清点支付页面上的所有脚本并对其进行授权……但他们仍未完成。 ”这则轶事凸显了手动跟踪和管理脚本库存的巨大工作量，尤其是在脚本频繁更新或动态加载的环境中。

由于需要验证脚本的完整性，维护脚本清单变得十分复杂。PCI DSS v4.0 要求组织确保其支付页面上的脚本未被篡改。这对于第三方脚本来说尤其具有挑战性，因为这些脚本通常不受组织的直接控制，并且可能经常更改。

实用解决方案：工具和自动化

鉴于手动脚本管理的挑战，小组成员强烈主张使用自动化工具来帮助组织遵守 PCI DSS v4.0。这些工具可以通过自动化脚本清单、授权和完整性检查流程来显著减轻组织的负担。