A Defesa do Lado do Cliente em Nuvem Distribuída da F5 Prepara os Clientes para o PCI DSS v4.0.1

Nos últimos anos, ataques de formjacking e Magecart surgiram como ameaças dominantes no cenário de comércio eletrônico e pagamentos digitais. Esses ataques do lado do cliente desviam silenciosamente dados confidenciais, incluindo números de cartão de crédito, credenciais de login e informações de identificação pessoal (PII) diretamente dos navegadores dos usuários, sem nunca tocar nos servidores da organização. Os ataques ignoram as defesas tradicionais de perímetro e do lado do servidor, injetando JavaScript malicioso em scripts de terceiros ou diretamente no código front-end.

O formjacking consiste na injeção de JavaScript malicioso em formulários on-line para capturar entradas do usuário no nível do navegador. Geralmente, isso é feito explorando vulnerabilidades em scripts de terceiros ou redes de distribuição de conteúdo (CDNs), dificultando a detecção por meio de ferramentas de segurança do lado do servidor.

Magecart é um termo genérico para um conjunto de grupos de criminosos cibernéticos especializados em clonagem de dados na web. Esses grupos de criminosos cibernéticos geralmente comprometem sites de comércio eletrônico injetando código JavaScript que rouba dados de pagamento durante a finalização da compra. Esses dados roubados são então exfiltrados para domínios controlados pelo invasor, muitas vezes ofuscados ou escondidos sob solicitações aparentemente legítimas.

Ambos os tipos de ataque compartilham um vetor comum: o navegador. E seu sucesso depende da pouca visibilidade que as organizações têm sobre o que realmente é executado do lado do cliente.

Com o lançamento do Padrão de segurança de dados do Setor de Cartões de Pagamento (PCI DSS) v4.0.1 , o Conselho de Padrões de Segurança PCI aborda diretamente a crescente ameaça de ataques do lado do cliente. Pela primeira vez, o PCI SSC incluiu dois requisitos do lado do cliente, em vigor a partir de 31 de março de 2025, para abordar diretamente esse novo vetor de ataque:

Requisito 6.4.3: Todos os scripts da página de pagamento que são carregados e executados no navegador do consumidor são gerenciados da seguinte forma:

• Um método é implementado para confirmar que cada script está autorizado.
• Um método é implementado para garantir a integridade de cada script.
•  Um inventário de todos os scripts é mantido com justificativa comercial ou técnica por escrito sobre a necessidade de cada um.

Requisito 11.6.1 – Um mecanismo de detecção de alterações e adulterações é implantado da seguinte forma:

• Para alertar o pessoal sobre modificações não autorizadas (incluindo indicadores de comprometimento, alterações, adições e exclusões) nos cabeçalhos HTTP que afetam a segurança e no conteúdo do script das páginas de pagamento, conforme recebido pelo navegador do consumidor.
• O mecanismo é configurado para avaliar os cabeçalhos HTTP recebidos e as páginas de pagamento.

Esses novos mandatos reconhecem uma verdade fundamental: os scripts do lado do cliente agora são uma parte crítica da superfície de ataque do PCI. No entanto, para muitas organizações, atender a esses requisitos apresenta obstáculos operacionais e técnicos, especialmente devido à natureza dinâmica dos ecossistemas JavaScript e à dependência de serviços de terceiros.

Firewalls de application da Web tradicionais (WAFs), soluções de gerenciamento de eventos e informações de segurança (SIEMs) e ferramentas de endpoint operam no servidor ou no perímetro da rede. Eles não têm visibilidade do ambiente de execução final: o navegador do usuário. Depois que um código malicioso é injetado — seja por meio de um gerenciador de tags comprometido, uma CDN ou um ataque à cadeia de suprimentos de terceiros — as ferramentas do lado do servidor geralmente não detectam a violação completamente. É aqui que a Defesa do Lado do Cliente em Nuvem Distribuída F5 entra em cena.

Diferentemente das ferramentas do lado do servidor, o Distributed Cloud Client-Side Defense opera no próprio navegador, fornecendo monitoramento em tempo real, validação de integridade e alertas sobre comportamento malicioso conforme ele acontece. E recentemente atualizamos o serviço para que ele seja desenvolvido especificamente para lidar com as ameaças descritas nos requisitos 6.4.3 e 11.6.1 do PCI DSS v4.0.1.

Veja como isso ajuda:

• Inventário e autorização de script :  O Distributed Cloud Client-Side Defense rastreia e mantém continuamente um inventário de todos os scripts em execução nas páginas de pagamento, próprios e de terceiros. As organizações podem estabelecer uma lista de permissão de scripts com justificativas por escrito e ser alertadas caso novos scripts ou scripts não autorizados apareçam, ajudando a demonstrar conformidade com 6.4.3.
• Validação de integridade do script:  A Defesa do Lado do Cliente em Nuvem Distribuída valida a integridade dos scripts instrumentando o tempo de execução do application Web para observar mudanças comportamentais significativas que sejam indicativas de comportamento inesperado e potencialmente malicioso, em particular novas solicitações de rede e novos acessos a dados.
• · Script e segurança impactando o monitoramento do cabeçalho HTTP :  O Distributed Cloud Client-Side Defense inspeciona regularmente scripts e cabeçalhos HTTP que impactam a segurança em busca de modificações não autorizadas, alertando se alterações são detectadas para ajudar as organizações a demonstrar conformidade com a versão 11.6.1.
• Detecção de exfiltração: Modelos avançados de ameaças monitoram solicitações de saída em busca de sinais de exfiltração de dados. Se um script tentar enviar dados de formulário capturados para um endpoint suspeito, alertas serão disparados e as organizações poderão tomar ações diretas de mitigação para bloquear chamadas de rede e leituras de campos de formulário.
• Alertas e relatórios prontos para empresas : As equipes de segurança e conformidade obtêm telemetria avançada sobre comportamento de script, relacionamentos de domínio e fluxos de dados do lado do navegador, ideal para trilhas de auditoria PCI e investigações forenses.