BLOG

PCI DSS 4.0.1 Update: Major New API Security Upgrades Required for Customer Payment Processors

Ian Dinno Miniatura
Ian Dinno
Publicado em 30 de agosto de 2024

O mais recente A atualização do PCI DSS (Payment Card Industry Data Security Standard) 4.0.1 é significativa, colocando maior ênfase nas cadeias de fornecimento de software, incluindo APIs e scripts do lado do cliente.

Com a descontinuação do PCI DSS 3.2.1, as organizações que processam pagamentos precisam se adaptar ao cenário em evolução de aplicativos modernos baseados em microsserviços, ambientes multinuvem e à implementação crescente de APIs.

Esta postagem do blog explora alguns dos novos requisitos críticos introduzidos no PCI DSS 4.0.1, voltados especificamente para proteger APIs, que se tornaram essenciais para transações em quase todos os setores e organizações.

Os novos mandatos incluem:

  • Teste de pré-implantação 6.2.3: Isso enfatiza a revisão rigorosa, os testes e as práticas de desenvolvimento seguro para software personalizado e sob medida, incluindo APIs antes do lançamento, para identificar e corrigir vulnerabilidades de código.
  • Proteção contra ameaças comuns 6.2.4: As organizações devem implementar controles para prevenir ou mitigar ataques comuns de software e vulnerabilidades relacionadas em software personalizado e sob medida. O foco inclui abuso de lógica de negócios, ataques de injeção (por exemplo, SQL, LDAP, XPATH ou outro comando, parâmetro, objeto, falha, etc.) e ataques ao controle de acesso e dados. Todos são essenciais na proteção de APIs.
  • Inventário e percepção de software personalizado 6.3.2: As empresas também devem manter a visibilidade e o inventário de software personalizado e sob medida, incluindo APIs e componentes de terceiros para facilitar o gerenciamento de vulnerabilidades e a aplicação de patches, garantindo uma postura de segurança abrangente.
  • Visibilidade da produção, detecção de ameaças e testes 6.4.1 e 6.4.2: Esta atualização destaca a necessidade de testes regulares e monitoramento e proteção contínuos de aplicativos da Web e APIs voltados ao público contra vulnerabilidades, ataques conhecidos e ameaças emergentes. Entre esses requisitos:
    • Verificação e teste regulares (pelo menos anuais) de aplicativos da web e APIs voltados ao público
    • Uma solução técnica, implantada na frente de aplicativos da web e APIs voltados ao público, para detectar e prevenir ataques baseados na web e em API

As organizações enfrentam o prazo de março de 2025 para cumprir

As últimas revisões do padrão PCI DSS 4.0 foram lançadas pelo PCI Security Standards Council em junho de 2024 e são uma resposta às transformações comerciais e técnicas observadas nos últimos anos. Essas mudanças reconhecem a ampla adoção de APIs e a evolução dos aplicativos e da infraestrutura que dão suporte a um número crescente de serviços e interações que impulsionam a economia cada vez mais digital de hoje, incluindo sistemas de pagamento presenciais, pela web e por dispositivos móveis.

As APIs representam uma mudança no paradigma de ameaças, com seu próprio conjunto de ameaças específicas abordadas no API OWASP TOP 10 . Eles são suscetíveis à maioria dos mesmos ataques e vulnerabilidades que os aplicativos da web tradicionais, mas geralmente expõem a lógica de negócios diretamente, o que os torna um alvo cada vez mais desejável para invasores . E eles exigem um conjunto específico de controles para proteger os dados contra acesso não autorizado, manipulação ou exposição, para garantir a privacidade e manter a confiança dos usuários e partes interessadas, bem como para garantir a confidencialidade, integridade e disponibilidade das comunicações da API.

O prazo final para as organizações cumprirem até março de 2025 ressalta a urgência de as empresas se alinharem a essas novas especificações para proteger as APIs e seus scripts do lado do cliente.

Algumas estratégias para garantir a conformidade

To meet PCI DSS 4.0 standards effectively and protect their entire threat surface, organizations should evaluate their existing security infrastructure, processes, and capabilities, and consider implementing solutions that deliver the following:

  • Descoberta abrangente de API: Isso começa com a integração com repositórios de código para criar inventários e documentação completos e precisos diretamente da(s) fonte(s). Mas também inclui análise baseada em tráfego e rastreamento de domínio para identificar APIs ocultas, zumbis, não gerenciadas e de terceiros.
  • Testes de API robustos: Esses testes fornecem análise de pré-produção do código da API, juntamente com testes dinâmicos de aplicativos e APIs públicos, proporcionando identificação contínua de vulnerabilidades com contexto e orientação de correção.
  • Proteção de tempo de execução: Isso exige mecanismos de controle e execução em linha para bloquear, limitar e impor o comportamento adequado da API. Isso inclui WAF e outras funcionalidades específicas de API para implementar regras de proteção de API, limitação de taxa, mascaramento de dados e recursos de aplicação de esquema para fornecer um modelo de segurança positivo.
  • Monitoramento contínuo e detecção de anomalias: Inclui análise comportamental baseada em IA/ML e inspeção contínua de tráfego de APIs para identificar possíveis ataques, exposição de dados confidenciais e outros comportamentos anormais de API que podem indicar abuso ou comprometimento de um ponto de extremidade de API.

A atualização é substancial, mas a conformidade não precisa ser assustadora

O foco do PCI DSS 4.0.1 na segurança de API representa um passo crucial para proteger as transações digitais nos ambientes de TI complexos e em constante evolução de hoje.

À medida que o prazo se aproxima, medidas proativas para melhorar a segurança da API serão essenciais para atingir e manter a conformidade. Eles também melhorarão a resiliência da sua infraestrutura contra ameaças cibernéticas e ataques direcionados a APIs e scripts do lado do cliente, fortalecerão a proteção dos dados e informações do cartão de pagamento dos seus clientes e aprofundarão a confiança e a credibilidade da sua organização com clientes e órgãos reguladores.

Você pode preparar sua organização para a conformidade com o PCI DSS 4.0.1 avaliando suas práticas atuais de segurança de API , identificando lacunas e implementando as melhorias necessárias. Mantenha-se informado sobre recursos e orientações adicionais fornecidos pelo PCI Security Standards Council para garantir a prontidão até março de 2025.

Isso não precisa ser uma tarefa assustadora. A F5 tem a experiência e as soluções para ajudar as organizações a avaliar e implementar controles que se alinhem aos novos requisitos e aprimorem sua postura de segurança de API e aplicativos web.

Confira esta demonstração da segurança completa da API da F5 em ação e entre em contato conosco hoje mesmo para marcar uma reunião com um de nossos especialistas.