Le dernier La mise à jour PCI DSS (Payment Card Industry Data Security Standard) 4.0.1 est importante, car elle met davantage l'accent sur les chaînes d'approvisionnement en logiciels, y compris les API et les scripts côté client.
Avec le retrait de la norme PCI DSS 3.2.1, les organisations qui traitent les paiements doivent s'adapter à l'évolution du paysage des applications modernes basées sur les microservices, des environnements multicloud et de la mise en œuvre accrue des API.
Cet article de blog explore certaines des nouvelles exigences critiques introduites dans la norme PCI DSS 4.0.1 visant spécifiquement à protéger les API, qui sont devenues partie intégrante des transactions dans presque tous les secteurs et organisations.
Les nouveaux mandats comprennent :
Les dernières révisions de la norme PCI DSS 4.0 ont été publiées par le PCI Security Standards Council en juin 2024 et répondent aux transformations commerciales et techniques observées ces dernières années. Ces changements reconnaissent l’adoption généralisée des API et l’évolution des applications et de l’infrastructure prenant en charge un nombre croissant de services et d’interactions alimentant l’économie de plus en plus numérique d’aujourd’hui, y compris les systèmes de paiement en personne, sur le Web et mobiles.
Les API représentent un changement dans le paradigme des menaces, avec leur propre ensemble de menaces spécifiques couvertes dans l' API OWASP TOP 10 . Ils sont sensibles à la plupart des mêmes attaques et vulnérabilités que les applications Web traditionnelles, mais exposent souvent directement la logique métier, ce qui en fait une cible de plus en plus prisée des attaquants . Et ils exigent un ensemble spécifique de contrôles pour protéger les données contre tout accès, manipulation ou exposition non autorisés afin de garantir la confidentialité et de maintenir la confiance des utilisateurs et des parties prenantes, ainsi que pour garantir la confidentialité, l’intégrité et la disponibilité des communications API.
L’échéance de mars 2025 fixée pour que les organisations se conforment souligne l’urgence pour les entreprises de s’aligner sur ces nouvelles spécifications pour protéger les API et leurs scripts côté client.
Pour répondre efficacement aux normes PCI DSS 4.0 et protéger l'ensemble de leur surface de menace, les organisations doivent évaluer leur infrastructure de sécurité, leurs processus et leurs capacités existants et envisager de mettre en œuvre des solutions offrant les éléments suivants :
L'accent mis par la norme PCI DSS 4.0.1 sur la sécurité des API constitue une étape cruciale vers la protection des transactions numériques dans les environnements informatiques complexes et en constante évolution d'aujourd'hui.
À l’approche de la date limite, des mesures proactives visant à améliorer la sécurité des API seront essentielles pour atteindre et maintenir la conformité. Ils amélioreront également la résilience de votre infrastructure contre les cybermenaces et les attaques ciblant les API et les scripts côté client, renforceront la protection des données et des informations de carte de paiement de vos clients et approfondiront la confiance et la crédibilité de votre organisation auprès des clients et des organismes de réglementation.
Vous pouvez préparer votre organisation à la conformité PCI DSS 4.0.1 en évaluant vos pratiques de sécurité API actuelles , en identifiant les lacunes et en mettant en œuvre les améliorations nécessaires. Restez informé des ressources et des conseils supplémentaires fournis par le PCI Security Standards Council pour assurer votre préparation d'ici mars 2025.
Cela ne doit pas forcément être une tâche ardue. F5 possède l'expertise et les solutions nécessaires pour aider les organisations à évaluer et à mettre en œuvre des contrôles qui s'alignent sur les nouvelles exigences et améliorent la sécurité de vos applications Web et de vos API.
Découvrez cette démonstration de la sécurité complète des API de F5 en action et contactez-nous dès aujourd'hui pour organiser une réunion avec l'un de nos experts.