PCI DSS V4.0 ベストプラクティス要件 6.4.2 / 6.4.3 / 11.6.1への対応ソリューション WAF/オンラインスキミング
対策サービス

一般公開されているウェブアプリケーションについては、ウェブベースの攻撃を継続的に検知・防止する自動化された技術的ソリューションを導入しており、少なくとも以下の条件を備えている。

• 一般公開されているウェブアプリケーションの前にインストールされ、ウェブベースの攻撃を検知・防止するように設定されている。
• アクティブに実行され、該当する場合は最新の状態に更新されていること。
• 監査ログを生成していること。
• ウェブ ベースの攻撃をブロックするか、アラー トを生成して直ちに調査するように設定されている。

消費者のブラウザに読み込まれ実行されるすべての決済ページスクリプトは、以下のように管理 される。

• 各スクリプトが認可されていることを確認するための方法が実装されている。
• 各スクリプトの整合性を保証するための方法が実装されている。
• すべてのスクリプトのインベントリが、それぞれのスクリプトが必要な理由を説明した文書とともに維持される。

変更・改ざん検知のメカニズムは、以下のように展開されている。

• 消費者ブラウザが受信した HTTP ヘッダーと決済ページのコンテンツに対する不正な変更(侵害の指標、変更、追加、および削除を含む) を担当者に警告すること。
• メカニズムは、受信した HTTPヘッダーと決済ページを評価するように構成される。（一部抜粋）