BLOG

A defesa contra bots também deve ajudar a impulsionar a conformidade com PCI-DSS

Edward O'Connell Miniatura
Edward O'Connell
Publicado em 18 de setembro de 2023

O crime cibernético cresceu e continuará crescendo devido às ferramentas de automação prontamente disponíveis e às credenciais roubadas, tornando bastante simples atacar aplicativos com fins lucrativos. Isso, por sua vez, impulsionou padrões de segurança maiores na indústria e no governo para garantir conformidade e confiança. Um exemplo desse padrão de segurança do setor é o Payment Card Industry Data Security Standard (PCI-DSS) , com o lançamento dos requisitos da versão 4. Um dos objetivos do lançamento é atualizar o esquema geral de proteção para segurança do lado do cliente.

O PCI-DSS é um padrão essencial, pois permite que processadores de pagamento e provedores de serviços confiem e protejam uns aos outros. Para atender às crescentes necessidades de transações eletrônicas, vários comerciantes e provedores de serviços migraram seus aplicativos para uma infraestrutura baseada em nuvem para garantir operações escaláveis e de baixa latência. Os padrões de conformidade com o PCI-DSS se aplicam a todas as transações eletrônicas, independentemente da infraestrutura que os comerciantes e provedores de serviços usam para processar pagamentos. O PCI-DSS abrange segurança de rede, criptografia de dados e gerenciamento, mas não aborda a proteção de aplicativos (e dados) contra ataques automatizados.

Para proteger aplicativos e dados baseados em nuvem contra ataques automatizados (ou manuais), os processadores de pagamento e comerciantes contam com provedores de serviços de segurança terceirizados para fornecer proteção distribuída para aplicativos e dados. A certificação PCI-DSS de um fornecedor de segurança SaaS é essencial para que os emissores de pagamento mantenham a conformidade e a confiança de outros fornecedores com os quais estão conectados e realizam transações comerciais. Um fornecedor de Segurança como Serviço sem conformidade com PCI-DSS torna muito mais difícil para os emissores de pagamento manter ou provar a conformidade e a confiança contínua com organizações terceirizadas às quais estão conectados para processamento de pagamentos.

No glossário do PCI-DSS , um provedor de serviços é uma entidade comercial que não é uma marca de pagamento diretamente envolvida no processamento, armazenamento ou transmissão de dados do titular do cartão em nome de outra entidade. Isso também inclui empresas que fornecem serviços que controlam ou podem impactar a segurança dos dados do titular do cartão. Exemplos incluem provedores de serviços gerenciados que fornecem firewalls gerenciados, sistemas de detecção de intrusão e outros serviços, bem como provedores de hospedagem e outras entidades.

O F5 Distributed Cloud (XC) Bot Defense é uma solução SaaS que protege aplicativos contra ataques automatizados e atende aos requisitos de conformidade com PCI-DSS como um provedor de serviços. O F5 XC Bot Defense fornece segurança para emissores de pagamentos e similares contra ataques automatizados para uma ampla gama de setores, como serviços financeiros, varejo e comércio eletrônico, saúde e governos em todo o mundo.

Um bom exemplo de como a F5, como provedora de serviços, é capaz de atender aos requisitos de conformidade do PCI-DSS é a adesão estrita (política, operação e documentação) aos requisitos do PCI listados abaixo:

1.3 O acesso à rede de e para o ambiente de dados do titular do cartão (CDE) é restrito.

1.3.1 O tráfego de entrada para o CDE é restrito da seguinte forma:

  • Para trafegar somente o necessário.
  • Todo outro tráfego é especificamente negado.

1.3.2 O tráfego de saída do CDE é restrito da seguinte forma:

  • Para trafegar somente o necessário.
  • Todo outro tráfego é especificamente negado.

1.4.1 Os NSCs são implementados entre redes confiáveis e não confiáveis.

1.4.2 O tráfego de entrada de redes não confiáveis para redes confiáveis é restrito a:

  • Comunicações com componentes do sistema autorizados a fornecer serviços, protocolos e portas de acesso público.
  • Respostas com estado para comunicações iniciadas por componentes do sistema em uma rede confiável.
  • Todo o restante do tráfego é negado.

1.4.3 Medidas anti-spoofing são implementadas para detectar e bloquear endereços IP de origem falsificados de entrar na rede confiável.

Como provedora de serviços PCI-DSS, a F5 não deve apenas atender aos requisitos do PCI-DSS, mas também desenvolvê-los para proteger prontamente aplicativos e dados distribuídos contra ataques automatizados que podem aumentar e/ou sofrer mutações rapidamente.

Para saber mais sobre como o F5 Distributed Cloud Bot Defense pode não apenas proteger seus aplicativos e dados contra ataques, mas também otimizar seu processo de conformidade com PCI-DSS, confira: