BLOG

PCI DSS 4.0.1-Update: Wichtige neue API-Sicherheitsupgrades für Kundenzahlungsprozessoren erforderlich

Ian Dinno Miniaturbild
Ian Dinno
Veröffentlicht am 30. August 2024

Das Neueste Das Update PCI DSS (Payment Card Industry Data Security Standard) 4.0.1 ist bedeutsam und legt einen größeren Schwerpunkt auf Software-Lieferketten, einschließlich APIs und clientseitigen Skripts.

Mit der Außerdienststellung von PCI DSS 3.2.1 müssen sich Organisationen, die Zahlungen verarbeiten, an die sich entwickelnde Landschaft moderner, auf Mikrodiensten basierender Anwendungen, Multicloud-Umgebungen und der zunehmenden Implementierung von APIs anpassen.

In diesem Blogbeitrag werden einige der wichtigen neuen Anforderungen untersucht, die in PCI DSS 4.0.1 eingeführt wurden und speziell auf den Schutz von APIs abzielen, die in nahezu allen Branchen und Organisationen zu einem integralen Bestandteil von Transaktionen geworden sind.

Die neuen Mandate umfassen:

  • Tests vor der Bereitstellung 6.2.3: Dies unterstreicht die strenge Überprüfung, Prüfung und sichere Entwicklungspraxis für maßgeschneiderte und individuelle Software, einschließlich APIs vor der Veröffentlichung, um Schwachstellen im Code zu identifizieren und zu beheben.
  • Schutz vor gängigen Bedrohungen 6.2.4: Organisationen müssen Kontrollen implementieren, um gängige Softwareangriffe und damit verbundene Schwachstellen in maßgeschneiderter und individueller Software zu verhindern oder einzudämmen. Im Mittelpunkt stehen der Missbrauch der Geschäftslogik, Injektionsangriffe (z. B. SQL, LDAP, XPATH oder andere Befehle, Parameter, Objekte, Fehler usw.) und Angriffe auf Zugriffskontrolle und Daten. Sie alle sind für den Schutz von APIs von entscheidender Bedeutung.
  • Bestandsaufnahme und Einblick in maßgeschneiderte Software 6.3.2: Unternehmen müssen außerdem die Übersicht und den Bestand maßgeschneiderter und individueller Software, einschließlich APIs und Komponenten von Drittanbietern, aufrechterhalten, um das Schwachstellenmanagement und das Patchen zu erleichtern und so eine umfassende Sicherheitslage zu gewährleisten.
  • Produktionstransparenz, Bedrohungserkennung und Tests 6.4.1 und 6.4.2: Dieses Update unterstreicht die Notwendigkeit regelmäßiger Tests und kontinuierlicher Überwachung sowie des Schutzes öffentlich zugänglicher Webanwendungen und APIs vor Schwachstellen, bekannten Angriffen und neuen Bedrohungen. Zu diesen Anforderungen gehören:
    • Regelmäßiges (mindestens jährliches) Scannen und Testen öffentlich zugänglicher Web-Apps und APIs
    • Eine technische Lösung, die vor öffentlich zugänglichen Web-Apps und APIs eingesetzt wird, um web- und API-basierte Angriffe zu erkennen und zu verhindern.

Organisationen müssen bis März 2025 die Vorschriften einhalten

Die neuesten Überarbeitungen des PCI DSS 4.0-Standards wurden im Juni 2024 vom PCI Security Standards Council veröffentlicht und sind eine Reaktion auf die geschäftlichen und technischen Veränderungen der letzten Jahre. Diese Änderungen berücksichtigen die weitverbreitete Einführung von APIs und die Weiterentwicklung der Apps und Infrastruktur, die eine wachsende Zahl von Diensten und Interaktionen unterstützen, welche die zunehmend digitale Wirtschaft von heute antreiben, darunter auch persönliche, Web- und mobile Zahlungssysteme.

APIs stellen einen Wandel im Bedrohungsparadigma dar und verfügen über einen eigenen Satz spezifischer Bedrohungen, die in den API OWASP TOP 10 abgedeckt sind. Sie sind für die meisten Angriffe und Sicherheitslücken genauso anfällig wie herkömmliche Webanwendungen, legen die Geschäftslogik jedoch häufig direkt offen und werden dadurch für Angreifer zu einem zunehmend begehrten Ziel . Und sie erfordern eine Reihe spezifischer Kontrollen zum Schutz der Daten vor unbefugtem Zugriff, Manipulation oder Offenlegung, um die Privatsphäre zu wahren, das Vertrauen der Benutzer und Beteiligten aufrechtzuerhalten und die Vertraulichkeit, Integrität und Verfügbarkeit der API-Kommunikation sicherzustellen.

Eine Frist bis März 2025 für Organisationen zur Umsetzung unterstreicht, wie dringend es für Unternehmen ist, sich an diese neuen Spezifikationen zu halten, um APIs und ihre clientseitigen Skripte zu schützen.

Einige Strategien zur Sicherstellung der Compliance

Um die PCI DSS 4.0-Standards effektiv zu erfüllen und ihre gesamte Bedrohungsoberfläche zu schützen, sollten Unternehmen ihre vorhandene Sicherheitsinfrastruktur, -prozesse und -funktionen bewerten und die Implementierung von Lösungen in Betracht ziehen, die Folgendes bieten:

  • Umfassende API-Erkennung: Dies beginnt mit der Integration mit Code-Repositories, um vollständige und genaue Inventare und Dokumentationen direkt aus der/den Quelle(n) zu erstellen. Es umfasst aber auch verkehrsbasierte Analysen und Domänen-Crawling, um Schatten-, Zombie-, nicht verwaltete und Drittanbieter-APIs zu identifizieren.
  • Robustes API-Testing: Solche Tests ermöglichen eine Vorproduktionsanalyse des API-Codes gepaart mit dynamischen Tests öffentlich zugänglicher Apps und APIs und ermöglichen so eine kontinuierliche Identifizierung von Schwachstellen mit Kontext und Anleitungen zur Behebung.
  • Laufzeitschutz: Es erfordert Inline-Durchsetzungs- und Kontrollmechanismen, um das richtige API-Verhalten zu blockieren, einzuschränken und durchzusetzen. Dies umfasst WAF und andere API-spezifische Funktionen zur Implementierung von API-Schutzregeln, Ratenbegrenzungen, Datenmaskierung und Schemadurchsetzungsfunktionen, um ein positives Sicherheitsmodell bereitzustellen.
  • Kontinuierliche Überwachung und Anomalieerkennung: Beinhaltet eine auf KI/ML basierende Verhaltensanalyse und kontinuierliche Verkehrsprüfung von APIs, um potenzielle Angriffe, die Offenlegung vertraulicher Daten und anderes abnormales API-Verhalten zu identifizieren, das auf Missbrauch oder Gefährdung eines API-Endpunkts hinweisen kann.

Das Update ist umfangreich, aber die Einhaltung muss keine große Herausforderung sein

Der Fokus von PCI DSS 4.0.1 auf API-Sicherheit stellt einen entscheidenden Schritt zur Absicherung digitaler Transaktionen in den komplexen und sich ständig weiterentwickelnden IT-Umgebungen von heute dar.

Da die Frist immer näher rückt, sind proaktive Maßnahmen zur Verbesserung der API-Sicherheit von entscheidender Bedeutung für die Erreichung und Aufrechterhaltung der Compliance. Darüber hinaus verbessern sie die Widerstandsfähigkeit Ihrer Infrastruktur gegenüber Cyberbedrohungen und Angriffen auf APIs und clientseitige Skripte, stärken den Schutz der Zahlungskartendaten und -informationen Ihrer Kunden und stärken das Vertrauen und die Glaubwürdigkeit Ihres Unternehmens bei Kunden und Aufsichtsbehörden.

Sie können Ihr Unternehmen auf die Einhaltung von PCI DSS 4.0.1 vorbereiten, indem Sie Ihre aktuellen API-Sicherheitspraktiken bewerten , Lücken identifizieren und notwendige Verbesserungen implementieren. Bleiben Sie über zusätzliche Ressourcen und Leitlinien des PCI Security Standards Council auf dem Laufenden, um die Bereitschaft bis März 2025 sicherzustellen.

Dies muss keine gewaltige Aufgabe sein. F5 verfügt über das Fachwissen und die Lösungen, um Unternehmen bei der Bewertung und Implementierung von Kontrollen zu unterstützen, die den neuen Anforderungen entsprechen und die Sicherheitslage Ihrer Web-App und API verbessern.

Sehen Sie sich diese Demo der vollständigen API-Sicherheit von F5 in Aktion an und wenden Sie sich noch heute an uns, um ein Treffen mit einem unserer Experten zu vereinbaren.