BLOG

La defensa contra bots también debería contribuir al cumplimiento de PCI-DSS.

Miniatura de Edward O'Connell
Edward O'Connell
Publicado el 18 de septiembre de 2023

El ciberdelito ha crecido y seguirá haciéndolo debido a la fácil disponibilidad de herramientas de automatización y al robo de credenciales, lo que hace que atacar aplicações para obtener ganancias sea bastante sencillo. Esto, a su vez, ha impulsado mayores estándares de seguridad en la industria y el gobierno para garantizar el cumplimiento y la confianza. Un ejemplo de dicho estándar de seguridad industrial es el Estándar de seguridad de datos de la Industria de Tarjetas de Pago (PCI-DSS) , con la publicación de los requisitos v4. Uno de los objetivos de esta versión es actualizar el esquema de protección general para la seguridad del lado del cliente.

PCI-DSS es un estándar fundamental ya que permite que los procesadores de pagos y los proveedores de servicios confíen y se protejan entre sí. Para satisfacer las crecientes necesidades de transacciones electrónicas, varios comerciantes y proveedores de servicios han migrado sus aplicações a una infraestructura basada en la nube para garantizar operaciones escalables y de baja latencia. Los estándares de cumplimiento de PCI-DSS se aplican a todas las transacciones electrónicas, independientemente de la infraestructura que utilicen los comerciantes y proveedores de servicios para procesar los pagos. PCI-DSS cubre la seguridad de la red, el cifrado y la gestión de datos, pero no aborda la protección de las aplicações (y los datos) contra ataques automatizados.

Para proteger las aplicações y los datos basados ​​en la nube de ataques automatizados (o manuales), los procesadores de pagos y los comerciantes confían en proveedores de servicios de seguridad de terceros para brindar protección distribuida para aplicações y datos. La certificación PCI-DSS de un proveedor de seguridad SaaS es fundamental para que los emisores de pagos mantengan el cumplimiento y la confianza de otros proveedores con los que están conectados y realizan transacciones comerciales. Un proveedor de seguridad como servicio sin cumplimiento de PCI-DSS hace que sea mucho más difícil para los emisores de pagos mantener o demostrar el cumplimiento y la confianza continua con las organizaciones de terceros con las que están conectados para el procesamiento de pagos.

Según el glosario PCI-DSS , un proveedor de servicios es una entidad comercial que no es una marca de pago involucrada directamente en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta en nombre de otra entidad. Esto también incluye empresas que brindan servicios que controlan o podrían afectar la seguridad de los datos del titular de la tarjeta. Los ejemplos incluyen proveedores de servicios administrados que proporcionan firewalls administrados, sistemas de detección de intrusiones y otros servicios, así como proveedores de alojamiento y otras entidades.

F5 Distributed Cloud (XC) Bot Defense es una solución SaaS que protege las aplicações de ataques automatizados y cumple con los requisitos de cumplimiento de PCI-DSS como proveedor de servicios. F5 XC Bot Defense brinda seguridad a los emisores de pagos y similares contra ataques automatizados para una amplia gama de industrias, como servicios financieros, comercio minorista y comercio electrónico, atención médica y gobiernos de todo el mundo.

Un buen ejemplo de cómo F5, como proveedor de servicios, puede cumplir con los requisitos de cumplimiento de PCI-DSS es la estricta adhesión (política, operación y documentación) a los requisitos de PCI que se enumeran a continuación:

1.3 El acceso a la red hacia y desde el entorno de datos del titular de la tarjeta (CDE) está restringido.

1.3.1 El tráfico entrante al CDE está restringido de la siguiente manera:

  • Transitar únicamente lo necesario.
  • Todo otro tráfico queda específicamente denegado.

1.3.2 El tráfico saliente del CDE está restringido de la siguiente manera:

  • Transitar únicamente lo necesario.
  • Todo otro tráfico queda específicamente denegado.

1.4.1 Los NSC se implementan entre redes confiables y no confiables.

1.4.2 El tráfico entrante desde redes no confiables a redes confiables está restringido a:

  • Comunicaciones con componentes del sistema que están autorizados a proporcionar servicios, protocolos y puertos de acceso público.
  • Respuestas con estado a las comunicaciones iniciadas por componentes del sistema en una red confiable.
  • Se deniega todo otro tráfico.

1.4.3 Se implementan medidas anti-spoofing para detectar y bloquear direcciones IP de origen falsificadas para que no ingresen a la red confiable.

Como proveedor de servicios PCI-DSS, F5 no solo debe cumplir con los requisitos PCI-DSS, sino también aprovecharlos para proteger fácilmente las aplicações y los datos distribuidos contra ataques automatizados que pueden escalar y/o mutar rápidamente.

Para obtener más información sobre cómo F5 Distributed Cloud Bot Defense no solo puede proteger sus aplicações y datos de ataques, sino también agilizar su proceso de cumplimiento de PCI-DSS, consulte: