Một đánh giá viên PCI độc lập đã kiểm tra Reflectiz dựa trên các quy tắc PCI DSS mới. Đây là kết luận: Xem toàn bộ bản đánh giá QSA tại đây →
Khi khách hàng nhập số thẻ của họ vào trang thanh toán, trình duyệt của họ đang chạy nhiều thứ hơn là chỉ mã nguồn của bạn. Các thẻ Analytics, trình quản lý thẻ (tag manager), tiện ích hỗ trợ, iframe thanh toán: một trang thanh toán hiện đại tải hàng chục script của bên thứ ba và bất kỳ script nào trong số đó đều có thể bị biến thành một skimmer.
Đây là cách thức hoạt động của Magecart. Sansec đã thống kê hơn 100.000 trang web bị ảnh hưởng bởi các cuộc tấn công web skimming và chuỗi cung ứng. Chỉ riêng vụ rò rỉ dữ liệu của British Airways năm 2018 đã làm lộ 380.000 giao dịch và chịu mức phạt ban đầu lên tới 183 triệu bảng Anh.
Phần nguy hiểm là: mã độc thường đến thông qua một script mà bạn đã phê duyệt. Những kẻ tấn công xâm nhập vào một nhà cung cấp bên thứ ba và mã độc (payload) sẽ đi kèm với một script mà bạn đã chạy trong nhiều tháng. Không có gì trông có vẻ mới cả. Điều thay đổi là hành vi của script chứ không phải sự hiện diện của nó trên trang.
PCI DSS v4.0.1 lấp đầy lỗ hổng đó bằng hai yêu cầu hiện đã có hiệu lực đầy đủ. 6.4.3 yêu cầu kiểm kê mọi script trên trang thanh toán, ủy quyền và chứng minh tính toàn vẹn của nó. 11.6.1 yêu cầu phát hiện các thay đổi trái phép đối với nội dung trang và HTTP headers khi trình duyệt nhận được chúng. Nếu thực hiện thủ công trên hàng trăm script thay đổi liên tục, việc này sẽ không thể mở rộng quy mô. Dữ liệu từ Reflectiz cho thấy khoảng 30% script trên trang thanh toán thay đổi trong vòng bất kỳ khoảng thời gian hai tuần nào.
Những phát hiện của QSA
Integrity360 Europe, một Qualified Security Assessor của PCI và là thành viên của PCI SSC Global Executive Assessor Roundtable, đã xem xét nền tảng Reflectiz PCI DSS dựa trên cả hai yêu cầu và nhận thấy nó có thể hỗ trợ tuân thủ một cách hiệu quả. Ba điểm nổi bật bao gồm:
- Giám sát hành vi, không chỉ là mã băm (file hashes). Việc kiểm tra hash sẽ bỏ lỡ sự thay đổi âm thầm từ phía nhà cung cấp. Reflectiz phát hiện script ngay khi nó bắt đầu truy cập vào dữ liệu thẻ.
- Triển khai không cần agent (agentless). Không thay đổi mã nguồn, không cần đoạn mã bổ sung, có thể đi vào hoạt động trong vài ngày và tiếp tục hoạt động thông qua các lần tái cấu trúc hoặc di chuyển CMS.
- Tạo bằng chứng sẵn sàng cho QSA chỉ với một cú nhấp chuột. Cung cấp đầy đủ lịch sử kiểm tra (audit trail) cho mỗi trang, sẵn sàng cho việc đánh giá.
Rắc rối với SAQ A
Kể từ tháng 1 năm 2025, các đơn vị chấp nhận thẻ có thể loại bỏ 6.4.3 và 11.6.1 khỏi SAQ A chỉ khi họ xác nhận rằng trang web của mình không dễ bị tấn công bởi script. Nếu chuyển hướng hoàn toàn sang bộ xử lý thanh toán của bạn? Bạn có thể ổn. Nhưng nếu nhúng một iframe thanh toán? Một script trên trang mẹ vẫn có thể chiếm quyền kiểm soát quá trình thanh toán trước khi dữ liệu đến được khung hình (frame) an toàn và bạn phải chứng minh rằng điều đó không thể xảy ra. PCI SSC FAQ #1588 chỉ thẳng lại các biện pháp kiểm soát này.
Tải bản đánh giá đầy đủ
Tài liệu trắng (white paper) đầy đủ của Integrity360 Europe phân tích chi tiết từng dòng của cả hai yêu cầu, quy trình giám sát và chính xác những gì SAQ A hiện đang yêu cầu đối với các đơn vị sử dụng iframe.