F5 ajuda você a atender aos novos requisitos do PCI DSS v4.0

No PCI DSS v3.2.1, as organizações tinham a opção de proteger applications da Web públicos manualmente ou com ferramentas automatizadas de avaliação de segurança de vulnerabilidades de application pelo menos uma vez por ano ou após alterações significativas nos application . Ou eles podem optar por instalar uma solução automatizada na frente de qualquer application da web de uso público para detectar e prevenir continuamente ataques baseados na web, configurada para bloquear ou gerar alertas sobre ataques. Mas o PCI DSS v4.x exigirá que as organizações implantem uma solução na frente de applications da web voltados ao público para detectar, prevenir e gerar continuamente um alerta sobre ataques baseados na web (PCI DSS v4.0, subseção 6.4.2).

É exatamente isso que um firewall de application web (WAF) faz. Um WAF é instalado na frente de applications públicos para verificar o tráfego de application , detectando e protegendo contra quaisquer ataques baseados na web. Um WAF previne ataques na camada de application , incluindo ataques que podem explorar vulnerabilidades comuns e desconhecidas em applications e sua cadeia de suprimentos de software — o código principal, bibliotecas de terceiros, ferramentas de compilação e outros códigos que compõem os applications complexos e sofisticados de hoje. Os WAFs também protegem contra ataques que tentam explorar falhas de implementação ou configuração e ataques automatizados contra pagamentos, credenciais e applications instalados.

O F5 protege qualquer application e API em qualquer lugar. Nossas soluções WAF podem ser implantadas em qualquer application, independentemente de onde o application esteja. Se você precisa de um WAF para proteger applications que estão no local, em data centers ou na nuvem, a F5 tem uma solução WAF que fornecerá segurança abrangente na camada de application e proteção contra explorações e ataques. O F5 WAF está disponível como um dispositivo, em software ou na nuvem por meio de autoatendimento ou serviço gerenciado, protegendo applications em contêineres e Kubernetes e muito mais.

Os produtos F5 são certificado como um provedor de serviços PCI DSS Nível 1. Um provedor de serviços, conforme definido pelo PCI SSC , é uma organização que não fornece cartões de pagamento de marca ou outros formatos, mas processa, armazena ou transmite dados do titular do cartão ou dados de autenticação confidenciais para outra organização. Empresas que prestam serviços para controlar ou impactar a segurança de dados de titulares de cartão ou dados de autenticação confidenciais, como F5 por meio de F5 Distributed Cloud Services , também são provedoras de serviços classificadas do PCI DSS v4.0. Os recursos do produto F5 ajudam nossos clientes a atender aos requisitos do PCI DSS como comerciantes, definidos pelo PCI SSC como qualquer entidade que aceita cartões de pagamento com os logotipos de qualquer marca de pagamento participante como pagamento por bens e/ou serviços.

Os Serviços de Nuvem Distribuída F5 fornecem vários serviços que abordam muitas seções e subseções do padrão PCI DSS v4.0 para organizações que armazenam, processam ou transmitem dados de cartão de pagamento.

O F5 Distributed Cloud WAF protege aplicativos em qualquer lugar, em nuvens, data centers e locais de ponta. Como um proxy intermediário, o Distributed Cloud WAF inspeciona solicitações e respostas de application , bloqueando e mitigando riscos, incluindo as 10 principais categorias do OWASP, campanhas de ameaças, usuários mal-intencionados, ameaças DDoS de camada 7, bots e ataques automatizados, para citar alguns. Ele atenua ataques e vulnerabilidades em application da web por meio de controles e políticas de segurança abrangentes e consistentes, com capacidade de observação fácil de configurar, implantar, gerenciar e dimensionar. O F5 Distributed Cloud WAF integra a proteção ao seu processo de desenvolvimento de aplicativos de forma simples e perfeita, permitindo ciclos de entrega e lançamento de application mais rápidos e seguros. Ao utilizar técnicas de detecção baseadas em assinatura e IA com ajuste de assinatura automatizado, o F5 Distributed Cloud WAF oferece segurança de camada de application rápida e simples com máxima eficácia. O novo assistente de IA do Distributed Cloud Services ajuda a simplificar a segurança de aplicativos e APIs distribuídos por meio de uma interface de linguagem natural com insights em tempo real, recomendações acionáveis e um resumo de relatórios de dados.

O F5 NGINX App Protect é um WAF leve e de alto desempenho projetado para proteger APIs e applications modernos em arquiteturas distribuídas e ambientes híbridos com proteção consistente. Independente de plataforma, o NGINX App Protect integra-se perfeitamente ao seu processo de desenvolvimento de application , detectando e protegendo contra ataques de application , incluindo ataques de negação de serviço (DoS) de camada 7 e bots. Uma solução de segurança de aplicativos poderosa e de baixa latência, o NGINX App Protect permite que você dimensione a segurança de aplicativos em clusters Kubernetes e na nuvem, ajudando a reduzir significativamente seus custos de computação. Ele oferece uma defesa em várias camadas, mitigando campanhas ativas de ataques cibernéticos e superando a proteção da categoria OWASP Top 10.

O F5 BIG-IP Advanced WAF é o principal firewall de application web da F5. A detecção e a mitigação no premiado Advanced WAF servem como mecanismo para o Distributed Cloud WAF e o NGINX App Protect. Com análise comportamental, mitigação de DoS de camada 7, criptografia de dados confidenciais na camada de application e serviços de inteligência de ameaças, o BIG-IP Advanced WAF protege applications em ambientes distribuídos e híbridos contra uma variedade de ataques a application . O BIG-IP Advanced WAF fornece um painel dedicado e dinâmico que garante de forma rápida e simples a segurança contra ameaças listadas no OWASP Top 10. O BIG-IP Advanced WAF inclui configurações guiadas para casos de uso comuns de WAF, um mecanismo de aprendizado e permite personalização granular de políticas de segurança. 

Além disso, o F5 pode abordar mais áreas aplicáveis ao padrão PCI DSS v4.0.

• As APIs são um componente essencial de quase todas as transações em setores e organizações. O PCI DSS v4.0.1 introduz vários novos requisitos destinados a proteger e garantir APIs como parte de software personalizado e personalizado. O F5 Distributed Cloud API Security ajuda a atender a muitos desses novos requisitos, fornecendo controles que protegem APIs que também ajudam a prevenir ou mitigar ataques e vulnerabilidades comuns de software. Para obter mais informações sobre os requisitos de segurança da API encontrados no PCI DSS v4.0.1, leia o blog de Ian Dinno, Atualização do PCI DSS 4.0.1: Novas e importantes atualizações de segurança de API necessárias para processadores de pagamento de clientes e aguarde um novo blog no início de 2025 com detalhes adicionais.
• O F5 Distributed Cloud Web App Scanning verifica de forma dinâmica e contínua sua superfície de ataque externa, descobrindo applications da Web e APIs expostos. Por meio de seus recursos automatizados de teste de penetração, o Distributed Cloud Web App Scanning identifica e relata vulnerabilidades potencialmente exploráveis, mesmo aquelas localizadas profundamente na sua cadeia de suprimentos de software. Ele ajuda você a proteger melhor seus aplicativos e APIs contra ataques e explorações. O Distributed Cloud Web App Scanning também ajuda você a resolver a subseção 6.3.2 do PCI DSS v4.0.
• O F5 Distributed Cloud Mobile App Shield protege perfeitamente seus aplicativos móveis contra malware, bots, vazamento de dados, acesso não autorizado e ataques do tipo man-in-the-middle (MiTM), que resultam em violações de conformidade, perdas financeiras, rotatividade de clientes e danos à reputação. O Distributed Cloud Mobile App Shield oferece proteção incomparável em tempo de execução e em repouso para proteger proativamente seus aplicativos móveis, evitar adulterações, bloquear bots maliciosos, exfiltração de dados e abuso de API.
• A subseção 8.4.2 do PCI DSS v4.0 determina que a autenticação multifator (MFA) seja implementada para todo o acesso ao Ambiente de Dados do Titular do Cartão (CDE), que pode ser composto de componentes do sistema que armazenam, processam ou transmitem dados do titular do cartão ou dados de autenticação confidenciais, ou ter conectividade irrestrita com esses sistemas. O F5 BIG-IP Access Policy Manager (BIG-IP APM) permite acesso a application de confiança zero, o que inclui limitar o acesso a applications e dados de acordo com privilégios com base em vários fatores, incluindo data e hora. O BIG-IP APM pode proteger dados do titular do cartão e dados de autenticação confidenciais em trânsito. Ele também permite autenticação por etapas, o que exigiria que usuários definidos — como aqueles que acessam o CDE ou usuários remotos — inserissem um conjunto diferente de credenciais de autenticação do que aqueles usados para acesso inicial, incluindo credenciais MFA diferentes.
• Para detectar e resolver prontamente falhas de sistemas críticos de controle de segurança , incluindo IDS/IPS e soluções antimalware, existe o F5 BIG-IP SSL Orchestrator . O BIG-IP SSL Orchestrator fornece proteção criptografada contra ameaças ao descriptografar o tráfego criptografado e direcionar o tráfego descriptografado por meio de sua pilha de segurança existente por meio de cadeias de serviços dinâmicas personalizáveis. Ele também balanceia a carga do tráfego para soluções em sua pilha de segurança, monitora a integridade de todas as soluções em sua pilha de segurança e pode gerenciar a atualização de cifras para suas soluções de segurança. Além disso, se uma de suas soluções de segurança ficar offline, você pode mitigar o perigo rapidamente por meio das cadeias de serviços dinâmicas do BIG-IP SSL Orchestrator, permitindo que você ignore a solução offline e mitigue quaisquer impactos prejudiciais, como desvio de tráfego não intencional. E quando você precisa trocar uma solução de segurança, o BIG-IP SSL Orchestrator aborda com eficiência as alterações e inserções do serviço de segurança, transferindo perfeitamente o tráfego descriptografado para inspeção sem interromper o fluxo de tráfego. O BIG-IP SSL Orchestrator ajudará você a abordar as subseções 10.7.2, 10.7.3 e 11.5.1.1 do PCI DSS v4.0.