قواعد PCI DSS الجديدة: سكربتات الدفع في دائرة الخطر

مع بدء تطبيق قواعد PCI DSS الجديدة، أصبحت السكربتات البرمجية العاملة في صفحات الدفع تمثل تحدياً أمنياً كبيراً. يجب مراقبة كل الأكواد بدقة لحماية بيانات عملائك.

أجرى مؤخراً مقيّم أمني مستقل اختبارات موسعة لتقييم مدى التوافق مع القواعد المحدثة لمعايير أمن بيانات صناعة بطاقات الدفع (PCI DSS)، وجاءت النتائج لتسلط الضوء على ثغرات خطيرة قد تتجاهلها الكثير من المتاجر.

ما هي مخاطر سكربتات صفحات الدفع؟

عندما يقوم العميل بإدخال بيانات بطاقته الائتمانية في صفحة الدفع الخاصة بك، فإن متصفحه ينفذ أكثر من مجرد الكود البرمجي الخاص بمتجرك. تعتمد صفحات الدفع الحديثة على تحميل العشرات من السكربتات الخارجية التابعة لأطراف ثالثة.

تكمن الخطورة في إمكانية تحويل أي من هذه الإضافات إلى أداة لسرقة البيانات. وهذا بالضبط ما تعتمد عليه هجمات (Magecart) الشهيرة، حيث تم تسجيل تأثر أكثر من 100 ألف موقع إلكتروني بهجمات سلسلة التوريد وسرقة بيانات الويب.

• اختراق مزود خدمة طرف ثالث موثوق.
• تعديل السكربت المعتمد دون تغيير مظهره العام.
• سرقة بيانات العملاء خفية لحظة إدخالها.

على سبيل المثال، تسبب اختراق الخطوط الجوية البريطانية في عام 2018 في تسريب بيانات 380 ألف عملية دفع، مما أدى إلى فرض غرامة ابتدائية ضخمة بلغت 183 مليون جنيه إسترليني.

كيف تعالج قواعد PCI DSS الإصدار 4.0.1 هذه التهديدات؟

وفقاً لتحليلات تيكبامين، فإن الخطر الأكبر يأتي من الأكواد الخبيثة التي تتسلل عبر سكربتات تمت الموافقة عليها مسبقاً وعملت لشهور دون مشاكل. لسد هذه الثغرة، فرضت معايير (PCI DSS v4.0.1) متطلبات صارمة دخلت حيز التنفيذ بالكامل.

• المعيار 6.4.3: يتطلب حصر جميع السكربتات في صفحات الدفع، التصريح بها رسمياً، وإثبات سلامتها برمجياً.
• المعيار 11.6.1: يفرض الكشف الفوري عن أي تلاعب في محتوى الصفحة وترويسات (HTTP) بمجرد وصولها للمتصفح.

يعد تنفيذ هذه الإجراءات يدوياً أمراً شبه مستحيل ولا يتناسب مع حجم العمل، خاصة مع وجود مئات السكربتات. وتشير البيانات الإحصائية إلى أن حوالي 30% من سكربتات صفحات الدفع تتغير بشكل تلقائي كل أسبوعين.

كيف يساعد التقييم الأمني في الامتثال؟

قامت مؤسسة التقييم الأمني (Integrity360 Europe)، وهي جهة معتمدة وعضو في المجلس التنفيذي العالمي لمعايير (PCI SSC)، بمراجعة شاملة لآليات الامتثال. وأكدت أن استخدام منصات أمنية متخصصة ومؤتمتة يعد ضرورياً لدعم الامتثال لهذه المعايير المعقدة بفعالية.

ما هو تأثير تحديثات SAQ A منذ يناير 2025؟

منذ بداية عام 2025، ظهرت شروط جديدة وصارمة تتعلق بنموذج الاستبيان التقييمي (SAQ A). حيث يمكن للتجار إسقاط المعايير 6.4.3 و 11.6.1 فقط إذا أثبتوا بشكل قاطع أن مواقعهم غير معرضة لهجمات السكربتات.

• إذا كنت تعتمد التوجيه الكامل (Full redirect) لمعالج الدفع، فموقفك سليم غالباً.
• إذا كنت تستخدم إطار عمل الدفع (iframe)، فإن السكربت الموجود في الصفحة الرئيسية لا يزال قادراً على اختراق عملية الدفع قبل وصول البيانات إلى الإطار الآمن.

نؤكد في تيكبامين على أن تأمين صفحات الدفع لم يعد يقتصر على حماية الخوادم فقط، بل يمتد ليشمل مراقبة كل كود برمجي يعمل داخل متصفح العميل لتجنب الثغرات وضمان حماية عمليات الشراء.