F5 le ayuda a cumplir con los nuevos requisitos de PCI DSS v4.0

En PCI DSS v3.2.1, las organizaciones tenían la opción de proteger las aplicações web públicas de forma manual o con herramientas automatizadas de evaluación de seguridad de vulnerabilidad de aplicação al menos una vez al año o después de cambios significativos en las aplicação . O podrían optar por instalar una solución automatizada delante de cualquier aplicação web pública para detectar y prevenir continuamente ataques basados ​​en la web, configurada para bloquear o generar alertas sobre los ataques. Pero PCI DSS v4.x requerirá que las organizaciones implementen una solución frente a las aplicações web públicas para detectar, prevenir y generar continuamente una alerta sobre ataques basados ​​en la web (PCI DSS v4.0 subsección 6.4.2).

Eso es exactamente lo que hace un firewall de aplicação web (WAF). Se instala un WAF delante de las aplicações públicas para verificar el tráfico de las aplicação , detectar y proteger contra cualquier ataque basado en la web. Un WAF previene ataques a la capa de aplicação , incluidos ataques que pueden explotar vulnerabilidades comunes y desconocidas en las aplicações y su cadena de suministro de software (el código principal, bibliotecas de terceros, herramientas de compilación y otros códigos que componen las aplicações complejas y sofisticadas de la actualidad). Los WAF también protegen contra ataques que intentan explotar fallas de implementación o configuración y ataques automatizados contra pagos, credenciales y aplicações instaladas.

F5 protege cualquier aplicação y API en cualquier lugar. Nuestras soluciones WAF se pueden implementar frente a cualquier aplicação, independientemente de dónde se encuentre la aplicação . Ya sea que necesite un WAF para proteger aplicações locales, en centros de datos o en la nube, F5 tiene una solución WAF que brindará seguridad integral a la capa de aplicação y protección contra exploits y ataques. F5 WAF está disponible como dispositivo, en software o en la nube a través de autoservicio o servicio administrado, protegiendo aplicações en contenedores y Kubernetes, y más.

Los productos F5 están certificados como proveedor de servicios PCI DSS de nivel 1 . Un proveedor de servicios, según la definición de PCI SSC , es una organización que no proporciona tarjetas de pago de marca u otros factores de forma, pero sí procesa, almacena o transmite datos del titular de la tarjeta o datos de autenticación confidenciales para otra organización. Las empresas que ofrecen servicios para controlar o impactar la seguridad de los datos del titular de la tarjeta o datos de autenticación sensibles, como F5 a través de F5 Distributed Cloud Services , también son proveedores de servicios clasificados de PCI DSS v4.0. Las características de los productos F5 ayudan a nuestros clientes a cumplir con los requisitos PCI DSS como comerciantes, definidos por el PCI SSC como cualquier entidad que acepta tarjetas de pago que tengan los logotipos de cualquier marca de pago participante como pago de bienes y/o servicios.

F5 Distributed Cloud Services proporciona numerosos servicios que abordan muchas secciones y subsecciones del estándar PCI DSS v4.0 para organizaciones que almacenan, procesan o transmiten datos de tarjetas de pago.

F5 Distributed Cloud WAF protege las aplicaciones en cualquier lugar: en nubes, centros de datos y ubicaciones perimetrales. Como proxy intermedio, Distributed Cloud WAF inspecciona las solicitudes y respuestas de las aplicação , bloqueando y mitigando riesgos, incluidas las 10 categorías principales de OWASP, campañas de amenazas, usuarios maliciosos, amenazas DDoS de capa 7, bots y ataques automatizados, por nombrar algunos. Mitiga los ataques y las vulnerabilidades de las aplicação web a través de controles y políticas de seguridad integrales y consistentes, con una observabilidad que es fácil de configurar, implementar, administrar y escalar. F5 Distributed Cloud WAF integra de manera sencilla y sin problemas la protección en su proceso de desarrollo de aplicaciones, lo que permite ciclos de lanzamiento y entrega de aplicação más rápidos y seguros. Al utilizar técnicas de detección basadas en firmas e inteligencia artificial con ajuste automático de firmas, F5 Distributed Cloud WAF ofrece seguridad de capa de aplicação rápida y sencilla con máxima eficacia. El nuevo asistente de inteligencia artificial de Distributed Cloud Services ayuda a simplificar la seguridad de las aplicaciones y API distribuidas a través de una interfaz de lenguaje natural con información en tiempo real, recomendaciones prácticas y un resumen de informes de datos.

F5 NGINX App Protect es un WAF liviano y de alto rendimiento diseñado para proteger API y aplicações modernas en arquitecturas distribuidas y entornos híbridos con protección constante. Independiente de la plataforma, NGINX App Protect se integra perfectamente en su proceso de desarrollo de aplicação , detectando y protegiendo contra ataques a las aplicação , incluidos ataques de denegación de servicio (DoS) de capa 7 y bots. NGINX App Protect, una solución de seguridad de aplicaciones potente y de baja latencia, le permite escalar la seguridad de las aplicaciones en clústeres de Kubernetes y la nube, lo que ayuda a reducir significativamente sus costos de procesamiento. Ofrece una defensa de múltiples capas, mitigando campañas de ciberataques activos y superando la protección de la categoría Top 10 de OWASP.

F5 BIG-IP Advanced WAF es el firewall de aplicação web insignia de F5. La detección y mitigación en el galardonado Advanced WAF sirve como motor para Distributed Cloud WAF y NGINX App Protect. Con análisis de comportamiento, mitigación de DoS de capa 7, cifrado de capa de aplicação de datos confidenciales y servicios de inteligencia de amenazas, BIG-IP Advanced WAF protege las aplicações en entornos híbridos distribuidos contra una variedad de ataques a las aplicação . BIG-IP Advanced WAF proporciona un panel de control dinámico y dedicado que garantiza de forma rápida y sencilla la seguridad contra las amenazas incluidas en el Top 10 de OWASP. BIG-IP Advanced WAF incluye configuraciones guiadas para casos de uso comunes de WAF, un motor de aprendizaje y permite la personalización granular de políticas de seguridad. 

Además, F5 puede abordar más áreas aplicables al estándar PCI DSS v4.0.

• Las API son un componente clave de casi todas las transacciones en industrias y organizaciones. PCI DSS v4.0.1 introduce varios requisitos nuevos destinados a proteger y asegurar las API como parte de un software personalizado y adaptado. F5 Distributed Cloud API Security ayuda a abordar muchos de estos nuevos requisitos, brindando controles que protegen las API y que también ayudan a prevenir o mitigar ataques y vulnerabilidades de software comunes. Para obtener más información sobre los requisitos de seguridad de API que se encuentran en PCI DSS v4.0.1, lea el blog de Ian Dinno, Actualización de PCI DSS 4.0.1: Se requieren importantes actualizaciones de seguridad de API nuevas para los procesadores de pagos de clientes . Busque un nuevo blog a principios de 2025 con detalles adicionales.
• F5 Distributed Cloud Web App Scanning escanea de forma dinámica y continua su superficie de ataque externa y descubre aplicações web y API expuestas. A través de sus capacidades de pruebas de penetración automatizadas, Distributed Cloud Web App Scanning identifica e informa vulnerabilidades potencialmente explotables, incluso aquellas que se encuentran en lo profundo de su cadena de suministro de software. Le ayuda a proteger mejor sus aplicaciones y API contra ataques y explotaciones. El escaneo de aplicaciones web distribuidas en la nube también le ayuda a abordar la subsección 6.3.2 de PCI DSS v4.0.
• F5 Distributed Cloud Mobile App Shield protege sin problemas sus aplicaciones móviles contra malware, bots, fugas de datos, acceso no autorizado y ataques de intermediario (MiTM) que resultan en violaciones de cumplimiento, pérdidas financieras, pérdida de clientes y daño a la reputación. Distributed Cloud Mobile App Shield ofrece protección en reposo y en tiempo de ejecución inigualable para fortalecer de manera proactiva sus aplicaciones móviles, evitar manipulaciones, bloquear bots maliciosos, exfiltración de datos y abuso de API.
• La subsección 8.4.2 de PCI DSS v4.0 exige que se implemente la autenticación multifactor (MFA) para todo acceso al entorno de datos del titular de la tarjeta (CDE), que puede estar compuesto por componentes del sistema que almacenan, procesan o transmiten datos del titular de la tarjeta o datos de autenticación confidenciales, o que tienen conectividad sin restricciones a esos sistemas. F5 BIG-IP Access Policy Manager (BIG-IP APM) permite el acceso a aplicação de confianza cero, lo que incluye limitar el acceso a aplicações y datos según privilegios basados ​​en cualquier cantidad de factores, incluida la fecha y la hora. BIG-IP APM puede proteger los datos del titular de la tarjeta y los datos de autenticación confidenciales en tránsito. También permite una autenticación avanzada, que requeriría que usuarios definidos (como los que acceden al CDE o los usuarios remotos) ingresen un conjunto de credenciales de autenticación diferente al que usaron para el acceso inicial, incluidas diferentes credenciales MFA.
• Para detectar y abordar rápidamente fallas de los sistemas de control de seguridad críticos, incluidas las soluciones IDS/IPS y antimalware, existe F5 BIG-IP SSL Orchestrator . BIG-IP SSL Orchestrator proporciona protección cifrada contra amenazas descifrando el tráfico cifrado y dirigiendo dicho tráfico a través de su pila de seguridad existente mediante cadenas de servicios dinámicos personalizables. También equilibra la carga del tráfico hacia las soluciones en su pila de seguridad, monitorea el estado de todas las soluciones en su pila de seguridad y puede administrar la actualización de cifrados para sus soluciones de seguridad. Además, si una de sus soluciones de seguridad se desconecta, puede mitigar rápidamente el peligro mediante las cadenas de servicios dinámicos de BIG-IP SSL Orchestrator, lo que le permite omitir la solución fuera de línea y mitigar cualquier impacto perjudicial, como la desviación de tráfico involuntaria. Y cuando necesita cambiar una solución de seguridad, BIG-IP SSL Orchestrator aborda de manera eficiente los cambios e inserciones del servicio de seguridad, transfiriendo sin problemas el tráfico descifrado para su inspección sin interrumpir el flujo de tráfico. BIG-IP SSL Orchestrator le ayudará a abordar las subsecciones 10.7.2, 10.7.3 y 11.5.1.1 de PCI DSS v4.0.