PCI DSS é o padrão mínimo: Por que proteger aplicativos web e APIs no comércio eletrônico

Embora não seja novidade, o padrão PCI mais recente amplia significativamente o âmbito de suas orientações. Um erro comum ao longo dos anos se resume a: “Estou seguro, tenho um firewall, está feito.” Podemos considerar esse erro um mito atualmente.

A modernização das aplicações, o crescimento dos pontos de contato digitais omnicanal e o avanço contínuo da sofisticação dos invasores exigem que adicionemos diversos controles de segurança para garantir a conformidade com o PCI DSS, incluindo segurança de scripts de pagamento, proteção de APIs, detecção e resposta rápidas a credenciais comprometidas e varreduras regulares de vulnerabilidades.

Conforme descrito no Guia de Mercado Gartner 2025 para Proteção em Nuvem de Aplicações Web e APIs, a proteção no lado do cliente ganha importância, já que o padrão PCI mais recente exige controles de segurança para todos os scripts de pagamento.

Aplicações na web ficam mais complexas à medida que a arquitetura se torna descentralizada e os componentes de software se distribuem em ambientes híbridos e multinuvem. Esse desacoplamento da infraestrutura das aplicações e a expansão das cadeias de fornecimento de software abrem espaço — e janelas — para ameaças que visam a lógica de negócios e os navegadores dos clientes, como parte do ciclo de ataque industrializado.

Ataques do lado do cliente, como infostealers, capturam credenciais de usuários que são usadas em ataques automatizados em larga escala e, se você não os controlar, podem resultar em account takeover e fraude.

Formjacking injeta JavaScript mal-intencionado em formulários online para capturar as informações que você digita diretamente no navegador. Esse ataque ocorre explorando vulnerabilidades em scripts de terceiros e dificilmente será detectado por controles de segurança tradicionais e centralizados.

Magecart é um termo usado para grupos de criminosos cibernéticos que se especializam em web skimming, atacando sites de comércio eletrônico ao injetar código JavaScript que rouba dados de pagamento durante o checkout.

Firewalls de aplicações web (WAFs) continuam sendo um controle de segurança estratégico, especialmente porque o novo padrão aponta que todas as vulnerabilidades representam oportunidades potenciais para invasores e precisam ser tratadas regularmente. Embora muitos WAFs protejam APIs, o ritmo acelerado do desenvolvimento moderno exige recursos extras para detectar dinamicamente e proteger automaticamente endpoints que estão profundamente integrados à lógica de negócio ou que são chamados em ecossistemas de terceiros, preferencialmente já no código e durante os testes.

Embora os processos do ciclo de vida do software e as técnicas de codificação segura sejam guias essenciais, você deve realizar avaliações de risco continuamente e implementar uma segurança robusta em tempo de execução na produção — incluindo no navegador do cliente, na aplicação web frontend e nas APIs backend — para impedir ataques eficazmente em diversos vetores de ameaça dentro de experiências digitais altamente conectadas. 

Vulnerabilidades são falhas ou fraquezas no software que podem ser exploradas por invasores. Agora que as aplicações são essencialmente sistemas baseados em API, as funções de lógica de negócios do backend estão altamente vulneráveis a abusos.

O laboratório F5 pesquisa detalha como o setor de comércio eletrônico apresentou uma das maiores proporções de ataques avançados, sendo 44,82% do credential stuffing móvel considerado avançado. Esses invasores utilizam diversas ferramentas para simular o comportamento de navegadores, dispositivos móveis e usuários na tentativa de evitar a detecção, incluindo gerar tokens válidos, falsificar sinais de telemetria e emular eventos de teclado e mouse. Invasores estão continuamente ajustando suas estratégias para contornar defesas, migrando de aplicativos web para aplicativos móveis ou aprimorando suas táticas, técnicas e procedimentos.

Ataques ao setor de comércio eletrônico também usam bots de revendedores que abusam da função de adicionar ao carrinho, podendo impedir que clientes reais concluam suas compras. Mais de uma em cada cinco transações de adicionar ao carrinho detectadas em mais de 200 bilhões de solicitações web e de API analisadas foram realizadas de forma automatizada.

Além disso, bots manipulam avaliações de usuários para gerar reviews falsas convincentes, muitas vezes usando IA generativa.

Mesmo no comércio eletrônico, a pesquisa do F5 Labs sobre ameaças revelou que a indústria da moda é a mais atingida por scrapers, que extraem grandes volumes de dados e conteúdo de seus alvos, representando 53,23% de todo o tráfego na web. A raspagem pode prejudicar a competitividade de preços da empresa e colocar a propriedade intelectual em risco.

A mais recente PCI DSS traz várias recomendações para utilizar análises de risco direcionadas em vez de avaliações de risco tradicionais em toda a organização.

Em particular, o padrão atualizado aborda a crescente ameaça de ataques do lado do cliente com dois requisitos específicos para o lado do cliente, que entram em vigor em 31 de março de 2025, mas não prescreve de forma rígida como as organizações devem atendê-los.

Esses novos mandatos reconhecem que scripts maliciosos no lado do cliente representam uma ameaça crescente no setor de cartões de pagamento.  Métodos consagrados para enfrentar esses riscos, como Políticas de Segurança de Conteúdo (CSPs) que bloqueiam injeções de código não autorizadas em sites e métodos web de Integridade de Subresource (SRI) que verificam se aplicativos de terceiros não foram alterados, são difíceis de implementar e manter, especialmente na atual era da IA, onde a concorrência pela atenção do cliente impulsiona melhorias contínuas nas experiências digitais.

Os clientes esperam realizar transações com facilidade e não aceitam atrasos, falhas ou, principalmente, incidentes de segurança. Controles de segurança comuns, como firewalls de aplicações web, podem não garantir proteção adequada ao navegador do cliente ou às APIs de backend. Soluções de gerenciamento de bots que utilizam desafios via CAPTCHA pouco impedem abusos de criminosos cibernéticos experientes, mas acabam frustrando seus usuários. Até mesmo a autenticação multifator pode ser burlada.

Os atacantes usam técnicas diferentes conforme a plataforma, o setor e a lógica de negócios que podem explorar. No e-commerce, a falha de um cliente em adicionar um item ao carrinho é uma ameaça significativa. Estão em risco a transação, a receita gerada e a fidelidade do cliente.