BLOG

Actualización de PCI DSS 4.0.1: Se requieren importantes mejoras de seguridad de la API para los procesadores de pagos de clientes.

Miniatura de Ian Dinno
Ian Dinno
Publicado el 30 de agosto de 2024

Lo último La actualización de PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) 4.0.1 es importante y pone mayor énfasis en las cadenas de suministro de software, incluidas las API y los scripts del lado del cliente.

Con el retiro de PCI DSS 3.2.1, las organizaciones que procesan pagos deben adaptarse al panorama cambiante de las aplicações modernas basadas en microservicios, los entornos multicloud y la mayor implementación de API.

Esta entrada de blog explora algunos de los nuevos requisitos críticos introducidos en PCI DSS 4.0.1 específicamente destinados a proteger las API, que se han vuelto parte integral de las transacciones en casi todas las industrias y organizaciones.

Los nuevos mandatos incluyen:

  • Pruebas previas a la implementación 6.2.3: Esto enfatiza la revisión rigurosa, las pruebas y las prácticas de desarrollo seguras para software a medida y personalizado, incluidas las API antes del lanzamiento, para identificar y corregir las vulnerabilidades del código.
  • Protección contra amenazas comunes 6.2.4: Las organizaciones deben implementar controles para prevenir o mitigar ataques de software comunes y vulnerabilidades relacionadas en software personalizado y a medida. El enfoque incluye el abuso de la lógica empresarial, ataques de inyección (por ejemplo, SQL, LDAP, XPATH u otros comandos, parámetros, objetos, fallas, etc.) y ataques al control de acceso y a los datos. Todos son fundamentales para la protección de las API.
  • Inventario y conocimiento del software a medida 6.3.2: Las empresas también deben mantener la visibilidad y el inventario de software personalizado y a medida, incluidas las API y los componentes de terceros para facilitar la gestión de vulnerabilidades y la aplicación de parches, garantizando así una postura de seguridad integral.
  • Visibilidad de producción, detección de amenazas y pruebas 6.4.1 y 6.4.2: Esta actualización destaca la necesidad de realizar pruebas periódicas y supervisar y proteger continuamente las aplicações web y API públicas contra vulnerabilidades, ataques conocidos y amenazas emergentes. Entre estos requisitos:
    • Escaneo y pruebas regulares (al menos anuales) de aplicaciones web y API públicas
    • Una solución técnica, implementada frente a aplicaciones web y API públicas, para detectar y prevenir ataques basados en la web y API.

Las organizaciones tienen como fecha límite marzo de 2025 para cumplir.

Las últimas revisiones del estándar PCI DSS 4.0 fueron publicadas por el PCI Security Standards Council en junio de 2024 y son una respuesta a las transformaciones comerciales y técnicas observadas en los últimos años. Estos cambios reconocen la adopción generalizada de las API y la evolución de las aplicaciones y la infraestructura que respaldan un número cada vez mayor de servicios e interacciones que impulsan la economía cada vez más digital de la actualidad, incluidos los sistemas de pago en persona, web y móviles.

Las API representan un cambio en el paradigma de las amenazas, con su propio conjunto de amenazas específicas cubiertas en el API OWASP TOP 10 . Son susceptibles a la mayoría de los mismos ataques y vulnerabilidades que las aplicaciones web tradicionales, pero a menudo exponen la lógica empresarial directamente, lo que las convierte en un objetivo cada vez más deseable para los atacantes . Y exigen un conjunto específico de controles para proteger los datos del acceso no autorizado para garantizar la privacidad y mantener la confianza de los usuarios y las partes interesadas, así como para garantizar la confidencialidad, la integridad y la disponibilidad de las comunicaciones API.

La fecha límite de marzo de 2025 para que las organizaciones cumplan subraya la urgencia de que las empresas se alineen con estas nuevas especificaciones para proteger las API y sus scripts del lado del cliente.

Algunas estrategias para garantizar el cumplimiento

Para cumplir eficazmente con los estándares PCI DSS 4.0 y proteger toda su superficie de amenazas, las organizaciones deben evaluar su infraestructura, procesos y capacidades de seguridad existentes y considerar implementar soluciones que ofrezcan lo siguiente:

  • Descubrimiento integral de API: Esto comienza con la integración con repositorios de código para crear inventarios y documentación completos y precisos directamente desde las fuentes. Pero también incluye análisis basado en el tráfico y rastreo de dominios para identificar API fantasma, zombis, no administradas y de terceros.
  • Pruebas de API robustas: Estas pruebas proporcionan un análisis de preproducción del código API junto con pruebas dinámicas de aplicaciones y API públicas, lo que proporciona una identificación continua de vulnerabilidades con contexto y orientación para su solución.
  • Protección en tiempo de ejecución: Requiere mecanismos de control y aplicación en línea para bloquear, limitar y hacer cumplir el comportamiento adecuado de la API. Esto incluye WAF y otras funcionalidades específicas de API para implementar reglas de protección de API, limitación de velocidad, enmascaramiento de datos y capacidades de cumplimiento de esquemas para ofrecer un modelo de seguridad positivo.
  • Monitoreo continuo y detección de anomalías: Incluye análisis de comportamiento basado en IA/ML e inspección continua del tráfico de las API para identificar posibles ataques, exposición de datos confidenciales y otros comportamientos anormales de las API que puedan indicar abuso o compromiso de un punto final de la API.

La actualización es sustancial, pero cumplirla no tiene por qué ser una tarea abrumadora.

El enfoque de PCI DSS 4.0.1 en la seguridad de API significa un paso crucial hacia la protección de las transacciones digitales en los complejos y en constante evolución entornos de TI actuales.

A medida que se acerca la fecha límite, las medidas proactivas para mejorar la seguridad de la API serán fundamentales para lograr y mantener el cumplimiento. También mejorarán la resiliencia de su infraestructura frente a amenazas cibernéticas y ataques dirigidos a las API y scripts del lado del cliente, fortalecerán la protección de los datos e información de las tarjetas de pago de sus clientes y profundizarán la confianza y la credibilidad de su organización ante los clientes y los organismos reguladores.

Puede preparar su organización para el cumplimiento de PCI DSS 4.0.1 evaluando sus prácticas de seguridad de API actuales , identificando brechas e implementando las mejoras necesarias. Manténgase informado sobre los recursos y la orientación adicionales proporcionados por el PCI Security Standards Council para garantizar la preparación para marzo de 2025.

Esto no tiene por qué ser una tarea difícil. F5 tiene la experiencia y las soluciones para ayudar a las organizaciones a evaluar e implementar controles que se alineen con los nuevos requisitos y mejoren la postura de seguridad de sus aplicaciones web y API.

Vea esta demostración de la seguridad API completa de F5 en acción y contáctenos hoy para programar una reunión con uno de nuestros expertos.