An ninh mạng

Các script trên trang thanh toán của bạn giờ đây đã trở thành vấn đề tuân thủ PCI DSS

Tiêu chuẩn PCI DSS v4.0.1 đã thắt chặt quy định đối với các script bên thứ ba trên trang thanh toán. Tìm hiểu cách các yêu cầu 6.4.3 và 11.6.1 đang thay đổi cách doanh nghiệp bảo vệ dữ liệu khách...

Nguyen Hung
18 Tháng 6, 2026 2 Min Read
2 0

Khi khách hàng nhập thông tin thẻ thanh toán trên website của bạn, trình duyệt không chỉ chạy mã nguồn của riêng bạn mà còn tải hàng loạt script từ bên thứ ba như: công cụ phân tích (analytics), quản lý tag, widget hỗ trợ hay các iframe thanh toán. Bất kỳ script nào trong số này đều có nguy cơ bị kẻ tấn công lợi dụng để thực hiện hành vi web skimming (đánh cắp dữ liệu thẻ).

Đây chính là phương thức hoạt động của các chiến dịch như Magecart. Các cuộc tấn công chuỗi cung ứng (supply-chain attacks) này đặc biệt nguy hiểm vì mã độc thường ẩn nấp trong các script hợp lệ mà doanh nghiệp đã tin tưởng sử dụng từ lâu. Kẻ tấn công không cần chèn mã mới, chúng chỉ cần thay đổi hành vi của script hiện có.

PCI DSS v4.0.1: Những yêu cầu mới

Để giải quyết lỗ hổng này, PCI DSS v4.0.1 đã đưa ra hai yêu cầu bắt buộc:

  • Yêu cầu 6.4.3: Yêu cầu doanh nghiệp phải kiểm kê toàn bộ script trên trang thanh toán, cấp quyền sử dụng và chứng minh tính toàn vẹn của chúng.
  • Yêu cầu 11.6.1: Yêu cầu phát hiện mọi hành vi can thiệp vào nội dung trang và HTTP headers ngay khi trình duyệt tiếp nhận.

Việc thực hiện thủ công các yêu cầu này là một thách thức lớn, bởi dữ liệu cho thấy khoảng 30% các script trên trang thanh toán thay đổi chỉ trong vòng hai tuần.

Giải pháp giám sát hành vi

Các chuyên gia đánh giá bảo mật (QSA) nhấn mạnh rằng việc kiểm tra file hash là không đủ để phát hiện các thay đổi tinh vi từ phía nhà cung cấp. Thay vào đó, doanh nghiệp cần các giải pháp giám sát hành vi (behavioral monitoring) để phát hiện ngay lập tức khi một script bắt đầu truy cập trái phép vào dữ liệu thẻ.

Đối với các doanh nghiệp sử dụng iframe thanh toán, rủi ro vẫn tồn tại trên trang cha (parent page). Kẻ tấn công có thể chiếm quyền điều khiển trang trước khi dữ liệu được gửi đến iframe bảo mật. Theo FAQ #1588 của PCI SSC, các đơn vị này vẫn phải chứng minh được trang web của mình không bị ảnh hưởng bởi các cuộc tấn công script.

Việc tuân thủ các quy định mới không chỉ là yêu cầu bắt buộc để đạt chứng nhận PCI DSS mà còn là lớp phòng thủ thiết yếu giúp bảo vệ uy tín doanh nghiệp trước các cuộc tấn công đánh cắp dữ liệu quy mô lớn.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept