Lo último La actualización de PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) 4.0.1 es importante y pone mayor énfasis en las cadenas de suministro de software, incluidas las API y los scripts del lado del cliente.
Con el retiro de PCI DSS 3.2.1, las organizaciones que procesan pagos deben adaptarse al panorama cambiante de las aplicações modernas basadas en microservicios, los entornos multicloud y la mayor implementación de API.
Esta entrada de blog explora algunos de los nuevos requisitos críticos introducidos en PCI DSS 4.0.1 específicamente destinados a proteger las API, que se han vuelto parte integral de las transacciones en casi todas las industrias y organizaciones.
Los nuevos mandatos incluyen:
Las últimas revisiones del estándar PCI DSS 4.0 fueron publicadas por el PCI Security Standards Council en junio de 2024 y son una respuesta a las transformaciones comerciales y técnicas observadas en los últimos años. Estos cambios reconocen la adopción generalizada de las API y la evolución de las aplicaciones y la infraestructura que respaldan un número cada vez mayor de servicios e interacciones que impulsan la economía cada vez más digital de la actualidad, incluidos los sistemas de pago en persona, web y móviles.
Las API representan un cambio en el paradigma de las amenazas, con su propio conjunto de amenazas específicas cubiertas en el API OWASP TOP 10 . Son susceptibles a la mayoría de los mismos ataques y vulnerabilidades que las aplicaciones web tradicionales, pero a menudo exponen la lógica empresarial directamente, lo que las convierte en un objetivo cada vez más deseable para los atacantes . Y exigen un conjunto específico de controles para proteger los datos del acceso no autorizado para garantizar la privacidad y mantener la confianza de los usuarios y las partes interesadas, así como para garantizar la confidencialidad, la integridad y la disponibilidad de las comunicaciones API.
La fecha límite de marzo de 2025 para que las organizaciones cumplan subraya la urgencia de que las empresas se alineen con estas nuevas especificaciones para proteger las API y sus scripts del lado del cliente.
Para cumplir eficazmente con los estándares PCI DSS 4.0 y proteger toda su superficie de amenazas, las organizaciones deben evaluar su infraestructura, procesos y capacidades de seguridad existentes y considerar implementar soluciones que ofrezcan lo siguiente:
El enfoque de PCI DSS 4.0.1 en la seguridad de API significa un paso crucial hacia la protección de las transacciones digitales en los complejos y en constante evolución entornos de TI actuales.
A medida que se acerca la fecha límite, las medidas proactivas para mejorar la seguridad de la API serán fundamentales para lograr y mantener el cumplimiento. También mejorarán la resiliencia de su infraestructura frente a amenazas cibernéticas y ataques dirigidos a las API y scripts del lado del cliente, fortalecerán la protección de los datos e información de las tarjetas de pago de sus clientes y profundizarán la confianza y la credibilidad de su organización ante los clientes y los organismos reguladores.
Puede preparar su organización para el cumplimiento de PCI DSS 4.0.1 evaluando sus prácticas de seguridad de API actuales , identificando brechas e implementando las mejoras necesarias. Manténgase informado sobre los recursos y la orientación adicionales proporcionados por el PCI Security Standards Council para garantizar la preparación para marzo de 2025.
Esto no tiene por qué ser una tarea difícil. F5 tiene la experiencia y las soluciones para ayudar a las organizaciones a evaluar e implementar controles que se alineen con los nuevos requisitos y mejoren la postura de seguridad de sus aplicaciones web y API.
Vea esta demostración de la seguridad API completa de F5 en acción y contáctenos hoy para programar una reunión con uno de nuestros expertos.