Notícias de dispositivos móveis, gadgets, aplicativos Android

O que PCI DSS 4.0 Significa para API?

Padrão de segurança de dados da indústria de cartões de pagamento ou PCI DSS 4.0 foi lançado em maio de 2022 pelo PCI Security Standards Council (PCI SSC).

Depois de usar PCI DSS 3.2.1 por vários anos, PCI DSS 4.0 é a mais recente versão do padrão de segurança desenvolvido para proteger cartões de crédito, garantindo seu processamento seguro.

O PCI SSC lançou esta versão dos padrões de conformidade e segurança de cartões de crédito como o novo conjunto de requisitos e práticas recomendadas a serem seguidos por todas as organizações que coletam, armazenam, processam ou transmitem dados de cartões de pagamento.

Quais são os requisitos mais recentes de acordo com PCI DSS 4.0? Isso se aplica a Segurança da API? Se sim, como? Continue lendo para descobrir.

O que é conformidade com PCI DSS?

PCI DSS é o padrão global para entidades que coletam, armazenam, transmitem, processam, tratam ou aceitam dados de cartões de crédito, débito ou pré-pagos, independentemente do volume de dados processados ​​que deve seguir.

É um conjunto de processos robustos, padrões de segurança e práticas recomendadas criados pelas principais empresas de cartão de crédito, incluindo Visa, Mastercard, American Express, Discover e JCB, para proteger dados confidenciais do titular do cartão e dados de autenticação.

A conformidade com o PCI DSS permite que as organizações garantam a segurança das informações do titular do cartão, ao mesmo tempo que protegem os pagamentos que estão sendo feitos/processados. A segurança PCI inspira uma sensação de confiança entre os titulares do cartão de que suas informações e dinheiro estão protegidos.

Independentemente de a organização processar/transmitir/gerenciar dados de cartão por meio de um aplicativo, API, telefone, internet, papel ou pessoa, ela deve seguir as regras estabelecidas por este padrão de conformidade de cartão de crédito.

Para cada organização, seja uma multinacional, uma plataforma de comércio eletrônico, um aplicativo de compras on-line ou uma pequena cafeteria, a conformidade com o PCI DSS é o mínimo para garantir a segurança do cartão e do pagamento.

Violações de dados e incidentes de segurança envolvendo cartões de crédito, débito e pré-pagos têm consequências financeiras, de reputação e jurídicas devastadoras para as organizações.

Portanto, a segurança PCI ajuda a evitar esses custos, multas por não conformidade e ações legais.

Como é o PCI DSS 4.0 Diferente do PCI DSS 3.2.1?

PCI-DSS 4.0 é a iteração mais recente do padrão de conformidade PCI e substitui o PCI DSS 3.2.1lançado em 2018.

Nós recomendamos:  Os 10 melhores fones de ouvido econômicos para trabalhar em casa [Wired And Wireless]

O PCI SSC tem iterado e atualizado esse padrão de segurança a cada poucos anos, acompanhando o cenário de ameaças em rápida mudança e a natureza mutável das vulnerabilidades no ecossistema de processamento de cartões.

As mudanças críticas no PCI DSS 4.0 pode ser resumido da seguinte forma:

  • Incorporação de métodos novos e inovadores para combater ameaças conhecidas e emergentes.
  • Maior flexibilidade na manutenção da segurança dos cartões e pagamentos.
  • Maior ênfase em ver e tratar a segurança do cartão como um processo contínuo e não como um objetivo final.
  • Métodos e procedimentos aprimorados para validação de pagamentos.
  • Garante que a estrutura e os processos sigam as mudanças nas necessidades e no contexto do ecossistema de processamento de cartões e pagamentos.
  • Permite a implementação personalizada de controles de segurança para obter conformidade com PCI DSS.

A conformidade com PCI DSS é necessária para APIs?

Sim. Se suas APIs forem usadas no processamento, transporte, transmissão ou gerenciamento de cartões de crédito, débito ou outros cartões de pagamento, você e seus parceiros técnicos garantirão que suas APIs sejam compatíveis com PCI DSS.

PCI-DSS 4.0 Conformidade e APIs

As organizações que realizam pagamentos on-line aproveitam amplamente as APIs para ajudar a oferecer experiências mais rápidas e integradas aos clientes. Mas as APIs expõem dados, lógica de negócios subjacente e funcionalidades por sua própria natureza. Como resultado, o processamento/manipulação de pagamentos online por API tornou-se um grande alvo para os cibercriminosos.

É por isso que PCI DSS 4.0 traz regulamentações de segurança rigorosas para garantir uma segurança robusta de pagamentos com ramificações de longo alcance para a segurança da API.

Esses regulamentos são encontrados principalmente sob requisitos 6 da mais recente iteração do padrão PCI DSS – Desenvolver e Manter Sistemas e Software Seguros. Nesta seção, dois requisitos específicos têm ramificações para a segurança da API. Aqui estão eles:

6.2 – Softwares sob medida e personalizados são desenvolvidos com segurança

Recentemente, um foco crescente tem sido na necessidade de fornecer aplicativos e software seguros desde o design, integrando a segurança nos estágios de desenvolvimento. Isso é amplamente conhecido como abordagem shift-left e é o que a seção 6.2 do PCI-DSS 4.0 está amplamente preocupado com.

Ele enfatizou a necessidade de as organizações identificarem e corrigirem vulnerabilidades, falhas e configurações incorretas em aplicativos e APIs o mais cedo possível no ciclo de vida de desenvolvimento.

Isto tem dois benefícios poderosos: não será um grande problema nas fases de desenvolvimento e não atrasará os lançamentos.

Nós recomendamos:  Como encontrar duplicatas giradas e invertidas em seu PC

Segundo, reduzirá o risco de vulnerabilidades entrarem em produção e deixarem o aplicativo, software ou API vulnerável a violações e ameaças à segurança.

Nesta secção, 6.2.3 e 6.2.4 requisitos são particularmente importantes para APIs.

Requerimento 6.2.3 exige que todos os softwares/aplicativos personalizados sejam devidamente revisados ​​antes de entrarem em produção para uso do cliente. Ao fazer isso, as organizações podem identificar e corrigir possíveis erros e vulnerabilidades de codificação.

Esta definição exige que todas as APIs também sejam incluídas no processo de revisão. As organizações precisam garantir que seus arquivos API Swagger – documentos legíveis por máquina que descrevem a funcionalidade de uma API escrita em especificações OpenAPI – sejam efetivamente revisados ​​e as vulnerabilidades corrigidas antes de entrarem em produção.

Ao aproveitar ferramentas de segurança focadas em API, como AppTrana, você pode fazer referência cruzada de arquivos Swagger para garantir que sejam PCI DSS 4.0 compatível, seguro e sem vulnerabilidades. Essas ferramentas podem detectar diferenças entre o tráfego de entrada da API e os arquivos Swagger.

Automatizar modelos de segurança positivos é uma proposta de valor chave para APIs dentro do AppTrana WAAP ecossistema.

Esse recurso é vantajoso para equipes sem documentação do Swagger e Postman para suas APIs. O arquivo swagger pode ser desenvolvido automaticamente por meio do recurso de descoberta de API. Além disso, a equipe de serviços gerenciados está envolvida na geração de arquivos Postman para APIs abertas críticas.

Requerimento 6.2.4 exige que as organizações definam todos os métodos e técnicas que os profissionais de desenvolvimento de software usam para prevenir/mitigar ataques comuns à segurança e vulnerabilidades relacionadas em software sob medida e personalizado. Esses ataques de software podem incluir ataques de injeção (XSS, SQL, XPatch, comando, objeto, etc.), ataques a dados e estruturas de dados, ataques à criptografia, ataques à lógica de negócios, mecanismos de controle de acesso e ataques por meio de vulnerabilidades de alto risco.

Destes, incluir falhas e ataques de lógica de negócios é particularmente importante para o PCI DSS 4.0 conformidade de APIs. Tem havido um número crescente de ataques à lógica de negócios, à medida que as APIs expõem a lógica de negócios por sua própria natureza e permitem que os invasores ataquem as APIs com mais facilidade.

Falhas de lógica de negócios podem ser introduzidas nas APIs durante o desenvolvimento, implantação ou atualizações. Quando há mais atualizações de API, as chances de introdução de falhas na lógica de negócios são maiores.

Nós recomendamos:  Gratus é um novo aplicativo deliciosamente material para lembrá-lo do seu agradecimento

É por isso que PCI DSS 4.0 exige que as organizações encontrem e protejam proativamente falhas de lógica de negócios em APIs antes que os invasores possam encontrá-las e explorá-las. APEu teste de penetração serve como uma medida proativa para identificar e resolver essas vulnerabilidades antes que elas possam ser aproveitadas pelos invasores.

6.4 – Aplicativos da Web voltados ao público são protegidos contra ataques

Os aplicativos da Web voltados para o público correm sempre um risco maior de ataques quando comparados aos aplicativos internos e não públicos, devido à sua ampla exposição a todos os tipos de usuários. Seção 6.4 preocupa-se com a proteção robusta de tais aplicativos, estabelecendo uma série de medidas para alcançar maior segurança de aplicativos públicos.

Nesta seção, os requisitos 6.4.1 e 6.4.2 são particularmente importantes para APIs. Requerimento 6.4.1 diz respeito à identificação e mitigação proativa e contínua de novas ameaças e vulnerabilidades.

As organizações podem usar ferramentas de detecção – manuais e automatizadas – para revisar e monitorar ameaças e vulnerabilidades conhecidas e emergentes em aplicativos e APIs voltados ao público. As organizações também podem aproveitar ferramentas inteligentes e totalmente gerenciadas para segurança preventiva.

Requerimento 6.4.2 estende-se 6.4.1 e enfatiza a necessidade de ser proativo e usar controles e ferramentas preventivas para encontrar e mitigar falhas e ameaças de segurança de API que colocam em risco o aplicativo voltado ao público.

Conclusão

Dado o quão onipresentes e críticas são as APIs para o espaço de processamento de pagamentos, a versão mais recente dos requisitos de conformidade do PCI DSS tem amplas ramificações para a segurança da API.

É por isso que você deve escolher uma solução de segurança API que lhe permita ser PCI DSS 4.0 compatível.

Table of Contents