O mais recente A atualização do PCI DSS (Payment Card Industry Data Security Standard) 4.0.1 é significativa, colocando maior ênfase nas cadeias de fornecimento de software, incluindo APIs e scripts do lado do cliente.
Com a descontinuação do PCI DSS 3.2.1, as organizações que processam pagamentos precisam se adaptar ao cenário em evolução de aplicativos modernos baseados em microsserviços, ambientes multinuvem e à implementação crescente de APIs.
Esta postagem do blog explora alguns dos novos requisitos críticos introduzidos no PCI DSS 4.0.1, voltados especificamente para proteger APIs, que se tornaram essenciais para transações em quase todos os setores e organizações.
Os novos mandatos incluem:
As últimas revisões do padrão PCI DSS 4.0 foram lançadas pelo PCI Security Standards Council em junho de 2024 e são uma resposta às transformações comerciais e técnicas observadas nos últimos anos. Essas mudanças reconhecem a ampla adoção de APIs e a evolução dos aplicativos e da infraestrutura que dão suporte a um número crescente de serviços e interações que impulsionam a economia cada vez mais digital de hoje, incluindo sistemas de pagamento presenciais, pela web e por dispositivos móveis.
As APIs representam uma mudança no paradigma de ameaças, com seu próprio conjunto de ameaças específicas abordadas no API OWASP TOP 10 . Eles são suscetíveis à maioria dos mesmos ataques e vulnerabilidades que os aplicativos da web tradicionais, mas geralmente expõem a lógica de negócios diretamente, o que os torna um alvo cada vez mais desejável para invasores . E eles exigem um conjunto específico de controles para proteger os dados contra acesso não autorizado, manipulação ou exposição, para garantir a privacidade e manter a confiança dos usuários e partes interessadas, bem como para garantir a confidencialidade, integridade e disponibilidade das comunicações da API.
O prazo final para as organizações cumprirem até março de 2025 ressalta a urgência de as empresas se alinharem a essas novas especificações para proteger as APIs e seus scripts do lado do cliente.
To meet PCI DSS 4.0 standards effectively and protect their entire threat surface, organizations should evaluate their existing security infrastructure, processes, and capabilities, and consider implementing solutions that deliver the following:
O foco do PCI DSS 4.0.1 na segurança de API representa um passo crucial para proteger as transações digitais nos ambientes de TI complexos e em constante evolução de hoje.
À medida que o prazo se aproxima, medidas proativas para melhorar a segurança da API serão essenciais para atingir e manter a conformidade. Eles também melhorarão a resiliência da sua infraestrutura contra ameaças cibernéticas e ataques direcionados a APIs e scripts do lado do cliente, fortalecerão a proteção dos dados e informações do cartão de pagamento dos seus clientes e aprofundarão a confiança e a credibilidade da sua organização com clientes e órgãos reguladores.
Você pode preparar sua organização para a conformidade com o PCI DSS 4.0.1 avaliando suas práticas atuais de segurança de API , identificando lacunas e implementando as melhorias necessárias. Mantenha-se informado sobre recursos e orientações adicionais fornecidos pelo PCI Security Standards Council para garantir a prontidão até março de 2025.
Isso não precisa ser uma tarefa assustadora. A F5 tem a experiência e as soluções para ajudar as organizações a avaliar e implementar controles que se alinhem aos novos requisitos e aprimorem sua postura de segurança de API e aplicativos web.
Confira esta demonstração da segurança completa da API da F5 em ação e entre em contato conosco hoje mesmo para marcar uma reunião com um de nossos especialistas.