How to Comply with PCI DSS 4.0 Requirements 6.4.3 and 11.6.1
How to Comply with PCI DSS 4.0 Requirements 6.4.3 and 11.6.1 | Imperva
How to Comply with PCI DSS 4.0 Requirements 6.4.3 and 11.6.1
www.imperva.com
- PCI DSS 4.0 주요 요구사항
- PCI DSS 6.4.3: 결제 페이지에서 실행되는 모든 스크립트를 인벤토리화하고, 스크립트의 승인, 정당화 및 무결성 제어를 확보해야 함
- PCI DSS 11.6.1: 보안에 영향을 미치는 HTTP 헤더 및 스크립트의 무단 수정 감지 및 경고 기능 필요
- Imperva Client-Side Protection의 준수 방법
- 인벤토리 관리
- 결제 페이지의 모든 클라이언트 측 스크립트를 자동으로 인벤토리화
- 새로운 스크립트 또는 기존 스크립트 변경을 실시간으로 감지
- 무결성 모니터링
- 스크립트 버전 지속 감시 및 무결성 변경 감지
- 해싱 및 AI를 활용하여 데이터 외부 전송 또는 잠재적 데이터 유출 행위를 분석
- 스크립트 승인 및 정당화
- 보안 팀이 스크립트를 승인하고 문서화할 수 있는 도구 제공
- UI 및 API를 통해 자동화된 보안 워크플로우와 통합 가능
- 실시간 경고 기능
- 새로운 스크립트 또는 수정된 스크립트 감지 시 보안 팀에 즉시 알림 전송
- 인벤토리 관리
- PCI DSS 11.6.1에 대한 Imperva 대응
- 자동화된 모니터링 및 이상 탐지
- 브라우저의 Content-Security-Policy(CSP) 헤더를 활용해 모든 클라이언트 측 요소 감시
- HTTP 헤더 및 DOM 요소의 실시간 변경 사항을 모니터링하여 악성 변경 감지
- 지속적인 모니터링
- 주간 수동 점검을 넘어서 매일 다중 점검 및 실시간 모니터링 제공
- 이상 징후 알림
- 다양한 채널(이메일, SIEM, API)로 실시간 이상 징후 알림 전송
- 변경 사항의 성격과 제안된 대응 조치에 대한 컨텍스트 제공
- 자동화된 모니터링 및 이상 탐지
- 주요 기능 소개
- PCI 준수 대시보드
- PCI 감사 준비를 위한 단계별 가이드 제공
- 준수 작업 진행 상황 모니터링 및 감사 보고서 내보내기 지원
- AI Explain 기능
- AI를 활용하여 스크립트의 목적과 외부 데이터 전송 여부, 입력 필드 모니터링 등 분석
- 머신러닝을 통해 비정상적인 스크립트 동작이나 무단 변경 탐지
- 경로별 온보딩 기능
- 결제 페이지나 민감한 사용자 계정 섹션 등 특정 경로에만 보안 적용 가능
- PCI 준수가 필요한 경로에 자동으로 관련 작업 항목 추가
- PCI 준수 대시보드
- 결론
- Imperva Client-Side Protection은 클라이언트 측 공격(예: 폼재킹, Magecart, 온라인 스키밍)을 방지
- 조직이 최신 PCI DSS 4.0 표준을 준수할 수 있도록 지원
- 디지털 자산을 정교한 공급망 공격으로부터 보호하고, 고객 데이터를 안전하게 유지하며, 비즈니스 운영을 중단 없이 지속할 수 있도록 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 중국산 로봇 청소기 정보 유출 우려와 보안 위험성 (0) | 2025.03.08 |
|---|---|
| 개인정보 제공기록 작성 및 공개 의무화 정책 발표 (0) | 2025.03.08 |
| GitHub 리포지토리를 통한 악성코드 배포 캠페인 'GitVenom' 분석 (0) | 2025.03.08 |
| APAC 산업을 겨냥한 FatalRAT 피싱 공격, 중국 클라우드 서비스 이용 (0) | 2025.03.08 |
| 2,500개 이상의 Truesight.sys 드라이버 변종을 활용한 EDR 우회 및 HiddenGh0st RAT 배포 공격 (0) | 2025.03.08 |