Asegúrese de que su entorno de AWS cumpla con PCI DSS v4.0.1 y F5.
¿Está preparado para los últimos requisitos de seguridad de pago con tarjeta? A partir del 31 de marzo de 2025, las organizaciones deben cumplir con PCI DSS v4.0.1, una actualización del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago que cambió una serie de prácticas recomendadas de seguridad de recomendadas a obligatorias. A partir de la versión 4.0.1, surgieron nuevos requisitos en torno a la seguridad continua, la autenticación mejorada y la protección contra vulnerabilidades, malware y phishing.
AWS mantiene la conformidad con el estándar PCI DSS de proveedor de servicios de nivel 1 en muchos de sus servicios, lo que protege la infraestructura, la red y los componentes de software subyacentes. Sin embargo, según el modelo de responsabilidad compartida de AWS, su organización es responsable de proteger sus aplicaciones y datos en AWS. Para lograr el cumplimiento total de PCI DSS, es posible que deba implementar medidas de seguridad adicionales para sus aplicaciones y datos.
Cumplimiento de los requisitos de seguridad actualizados
A partir de PCI DSS v4.0.1, ahora se requieren las siguientes mejoras de seguridad:
Protección de aplicaciones web y API: PCI DSS v4.0.1 exige protección continua para todas las API y aplicaciones web públicas, lo que requiere soluciones que detecten, prevengan y generen alertas sobre ataques. También requiere el análisis de vulnerabilidades y el mantenimiento de un inventario de software personalizado, incluidas las API y los componentes de terceros (Requisitos 6.2.4, 6.3.2 y 6.4.2).
Autenticación mejorada: Para evitar el acceso no autorizado a datos de pago confidenciales, ahora se requiere la autenticación multifactor (MFA) para todo acceso al entorno de datos del titular de la tarjeta (CDE), que abarca todos los componentes que almacenan, procesan o transmiten datos del titular de la tarjeta (Requisito 8.4.2).
Monitoreo de control de seguridad y detección de fallos: Las organizaciones deben detectar y abordar rápidamente las fallas de los sistemas de control de seguridad críticos, incluidos los sistemas de detección/prevención de intrusiones y las soluciones antimalware (Requisito 10.7).
Gestión integral de vulnerabilidades: Se requiere un escaneo periódico y exhaustivo de vulnerabilidades de todos los sistemas y aplicaciones públicos para identificar vulnerabilidades explotables, incluso aquellas que se encuentran en lo profundo de la cadena de suministro de software (Requisito 11.3.1).
Incorpore las soluciones de F5 en AWS para una cobertura completa de PCI DSS.
Al igual que AWS, F5 también ofrece servicios que cumplen con PCI DSS como proveedor de servicios de nivel 1 . Las soluciones de F5 proporcionan las capacidades de seguridad adicionales necesarias para el cumplimiento de PCI DSS v4.0.1 en AWS:
F5 Distributed Cloud WAF y F5 BIG-IP Advanced WAF brindan seguridad de aplicaciones integral que inspecciona el tráfico de aplicaciones y bloquea las 10 principales amenazas de OWASP, ataques de denegación de servicio distribuido (DDoS) de capa 7 y bots maliciosos. Las soluciones WAF de F5 se pueden implementar frente a cualquier aplicación, independientemente de dónde se encuentre: en las instalaciones, en AWS o en múltiples nubes.
Las reglas administradas de F5 para AWS WAF proporcionan conjuntos de reglas de seguridad preconfigurados que mejoran las capacidades de protección de AWS WAF. Esta protección que se actualiza continuamente protege contra las 10 principales amenazas de OWASP, bots maliciosos, ataques a nivel de API y otras vulnerabilidades.
F5 Distributed Cloud API Security descubre y protege las API, incluido el monitoreo continuo con análisis de comportamiento para detectar anomalías y posibles ataques.
F5 BIG-IP Access Policy Manager permite el acceso a aplicaciones de confianza cero mediante MFA para llegar al entorno de datos del titular de la tarjeta (CDE). Protege los datos del titular de la tarjeta en tránsito y refuerza el acceso seguro para cumplir con los requisitos.
F5 BIG-IP SSL Orchestrator descifra el tráfico que ingresa a su entorno de AWS y lo dirige a través de su pila de seguridad para detectar amenazas. Supervisa la salud de las soluciones de seguridad y puede mitigar rápidamente los problemas cuando falla un control de seguridad, evitando el desvío de tráfico involuntario.
F5 Distributed Cloud Web App Scanning escanea continuamente su superficie de ataque externa y descubre aplicaciones y API expuestas. A través de pruebas de penetración automatizadas, identifica vulnerabilidades potencialmente explotables en lo profundo de su cadena de suministro de software.
Optimice la seguridad y el cumplimiento normativo con F5
Al implementar soluciones F5 junto con los controles de seguridad de AWS, puede:
- Simplifique el cumplimiento con una cobertura integral de los requisitos de PCI DSS, así como registros de auditoría e informes.
- Reduzca el riesgo de violaciones de datos mediante la detección y prevención avanzadas de amenazas.
- Unifique la postura de seguridad para lograr coherencia en todo su entorno híbrido o multicloud.
Con más de una década de asociación, F5 y AWS trabajan juntos para simplificar la entrega y la seguridad de las aplicaciones en la nube. Las soluciones de F5 están disponibles en AWS Marketplace para agregar fácilmente protección completa para datos confidenciales de tarjetas de pago. Obtenga más información visitando nuestra página web de F5 en AWS .