La défense contre les robots devrait également contribuer à la conformité à la norme PCI-DSS

La cybercriminalité s’est développée et continuera de le faire en raison des outils d’automatisation facilement disponibles et des informations d’identification volées qui rendent les attaques d’applications à des fins lucratives assez simples. Cela a, à son tour, conduit à des normes de sécurité plus strictes pour l’industrie et le gouvernement afin de garantir la conformité et la confiance. Un exemple d'une telle norme de sécurité industrielle est la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) , avec la publication des exigences v4. L’un des objectifs de cette version est de mettre à jour le schéma de protection global pour la sécurité côté client.

La norme PCI-DSS est une norme essentielle car elle permet aux processeurs de paiement et aux prestataires de services de se faire confiance et de se protéger mutuellement. Pour répondre aux besoins croissants des transactions électroniques, divers commerçants et fournisseurs de services ont migré leurs applications vers une infrastructure basée sur le cloud pour garantir des opérations évolutives et à faible latence. Les normes de conformité PCI-DSS s'appliquent à toutes les transactions électroniques, quelle que soit l'infrastructure utilisée par les commerçants et les fournisseurs de services pour traiter les paiements. La norme PCI-DSS couvre la sécurité du réseau, le cryptage et la gestion des données, mais n'aborde pas la protection des applications (et des données) contre les attaques automatisées.

Afin de protéger les applications et les données basées sur le cloud contre les attaques automatisées (ou manuelles), les processeurs de paiement et les commerçants s'appuient sur des fournisseurs de services de sécurité tiers pour fournir une protection distribuée des applications et des données. La certification PCI-DSS d'un fournisseur de sécurité SaaS est essentielle pour que les émetteurs de paiement maintiennent la conformité et la confiance des autres fournisseurs avec lesquels ils sont connectés et avec lesquels ils effectuent des transactions. Un fournisseur de sécurité en tant que service sans conformité PCI-DSS rend beaucoup plus difficile pour les émetteurs de paiement de maintenir ou de prouver la conformité et la confiance continue avec les organisations tierces avec lesquelles ils sont connectés pour le traitement des paiements.

D'après le glossaire PCI-DSS , un fournisseur de services est une entité commerciale qui n'est pas une marque de paiement directement impliquée dans le traitement, le stockage ou la transmission des données du titulaire de la carte pour le compte d'une autre entité. Cela inclut également les entreprises qui fournissent des services qui contrôlent ou pourraient avoir un impact sur la sécurité des données des titulaires de cartes. Les exemples incluent les fournisseurs de services gérés qui fournissent des pare-feu gérés, des systèmes de détection d’intrusion et d’autres services, ainsi que les fournisseurs d’hébergement et d’autres entités.

F5 Distributed Cloud (XC) Bot Defense est une solution SaaS qui protège les applications contre les attaques automatisées et répond aux exigences de conformité PCI-DSS en tant que fournisseur de services. F5 XC Bot Defense offre une sécurité aux émetteurs de paiement et autres contre les attaques automatisées pour un large éventail de secteurs tels que les services financiers, la vente au détail et le commerce électronique, la santé et les gouvernements du monde entier.

Un bon exemple de la manière dont F5, en tant que fournisseur de services, est en mesure de répondre aux exigences de conformité PCI-DSS est le strict respect (politique, fonctionnement et documentation) des exigences PCI énumérées ci-dessous :

1.3 L'accès au réseau vers et depuis l'environnement de données du titulaire de carte (CDE) est restreint.

1.3.1 Le trafic entrant vers le CDE est limité comme suit :

• Pour ne faire circuler que ce qui est nécessaire.
• Tout autre trafic est spécifiquement refusé.

1.3.2 Le trafic sortant du CDE est limité comme suit :

• Pour ne faire circuler que ce qui est nécessaire.
• Tout autre trafic est spécifiquement refusé.

1.4.1 Les NSC sont mis en œuvre entre des réseaux fiables et non fiables.

1.4.2 Le trafic entrant des réseaux non fiables vers les réseaux fiables est limité à :

• Communications avec les composants du système autorisés à fournir des services, des protocoles et des ports accessibles au public.
• Réponses avec état aux communications initiées par les composants système dans un réseau de confiance.
• Tout autre trafic est refusé.

1.4.3 Des mesures anti-usurpation d'identité sont mises en œuvre pour détecter et empêcher les adresses IP sources falsifiées d'entrer dans le réseau de confiance.

En tant que fournisseur de services PCI-DSS, F5 doit non seulement répondre aux exigences PCI-DSS, mais également s'appuyer sur elles pour sécuriser facilement les applications et les données distribuées contre les attaques automatisées qui peuvent rapidement évoluer et/ou muter.

Pour en savoir plus sur la manière dont F5 Distributed Cloud Bot Defense peut non seulement protéger vos applications et vos données contre les attaques, mais également rationaliser votre processus de conformité PCI-DSS, consultez :

• Les nouvelles exigences de la norme PCI DSS v4.0 répondent aux attaques basées sur les navigateurs
• Conformité à la sécurité mobile PCI grâce au blindage des applications
• Défense distribuée contre les robots dans le cloud F5