BLOG

Mudanças importantes no PCI DSS 4.0.1 que você deve saber

Udo Blücher Miniatura
Udo Blucher
Publicado em 30 de julho de 2024

O Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 não expirou em 31 de março de 2024 e não foi substituído pelo PCI DSS v4.0?

Sim, e sim.

Mas para responder aos comentários e perguntas recebidas após a publicação do PCI DSS v4.0, o PCI Security Standards Council (PCI SSC) decidiu lançar uma revisão limitada do padrão: PCI DSS v4.0.1. (Quando o PCI DSS v4.0 for descontinuado em 31 de dezembro de 2024, o v4.0.1 se tornará o único padrão ativo com suporte do PCI SSC.) 

Há várias mudanças importantes no PCI DSS v4.0.1 que você deve conhecer ao atualizar ou desenvolver a segurança e a conformidade das transações. Para resumir, este blog abordará mudanças e atualizações que as soluções de segurança de API e aplicativos da F5 abordam. Você pode encontrar uma lista mais completa de alterações no site do PCI SSC

As atualizações mais relevantes incluídas no PCI DSS v4.0.1 visam esclarecer o escopo dos requisitos de segurança do lado do cliente.

Quem é responsável por quê?

Requisito 6.4.3

Este requisito estabelece que todos os scripts de página de pagamento que são carregados e executados no navegador do consumidor devem ser gerenciados da seguinte forma:

  • Um método é implementado para confirmar que cada script está autorizado.
  • Um método é implementado para garantir a integridade de cada script.
  • Um inventário de todos os scripts é mantido com justificativa comercial ou técnica por escrito sobre a necessidade de cada um.

Normalmente, os comerciantes dependem de provedores de serviços de pagamento ou provedores de serviços terceirizados (PSPs ou TPSPs) para processamento de pagamentos, o que determina o método pelo qual um consumidor paga pelos bens ou serviços adquiridos. Esse requisito do PCI causou confusão relacionada ao modelo de responsabilidade que rege cenários nos quais os comerciantes usavam quadros em linha (iframes) PSP/TPSP contendo a página de pagamento. Um iframe é essencialmente uma pequena página da web renderizada para uma funcionalidade específica. Scripts também podem ser executados nele, tornando o iframe suscetível aos mesmos riscos que as páginas web pai. Portanto, os iframes precisam seguir os mesmos requisitos de PCI das páginas pai?

A atualização v4.0.1 esclarece que os comerciantes são responsáveis pelo script executado apenas em sua própria página (a página pai) e não naqueles executados em iframes PSP/TPSP.

Melhor prática: É responsabilidade do comerciante trabalhar com o fornecedor de páginas iframes PSP/TPSP para garantir que elas sejam compatíveis e seguras. Se o comerciante não cumprir esse requisito, ele enfrentará o problema de fraude de pagamento, o que levará à perda de negócios e ao intenso escrutínio do PCI.

Requisito 11.6.1

Esclarecimentos semelhantes foram incluídos em torno do requisito 11.6.1, com ênfase no sistema de impacto de segurança de cabeçalhos HTTP e scripts recebidos pelo navegador do consumidor. Esta é uma mudança importante, pois o PCI deixa claro que está focado nos riscos associados a esse requisito, em vez de exigir proteção mais ampla para incidentes de cabeçalho e script HTTP não relacionados à segurança.

Também há atualizações sobre o modelo de responsabilidade para iframes incorporados ao PSP/TPSP, esclarecendo que o comerciante é responsável apenas pela página da web pai, e o fornecedor do PSP/TPSP é responsável pelos cabeçalhos HTTP e scripts com impacto na segurança renderizados em seus iframes.

 

O relógio está correndo

Com menos de nove meses até o prazo final de março de 2025 para implementar os novos requisitos, as organizações precisam navegar por todas as complexidades relacionadas às mudanças propostas e à conformidade com o PCI DSS v4.0.1.

 

F5 e PCI DSS v4.0.1

O F5 Distributed Cloud Web App and API Protection (WAAP) , o Distributed Cloud Bot Defense , o Distributed Cloud Client-Side Defense e o Mobile App Security Suite da F5 Distributed Cloud Services formam a base para proteger toda a transação entre empresa e consumidor. Para scripts do lado do cliente, o Distributed Cloud Client-Side Defense pode fornecer visibilidade e controle para permitir a conformidade. A F5 Distributed Cloud Services está atualmente em conformidade com o PCI DSS v4.0 e passa por auditorias de conformidade com uma empresa de auditoria aprovada regularmente. As organizações devem estar em conformidade com o PCI DSS v4.0.1 até 1º de janeiro de 2025, e os Questionários de Autoavaliação devem ser atualizados para refletir isso.

Por último, mas não menos importante, as organizações sujeitas aos requisitos do PCI DSS podem esperar alterações na seguinte documentação nos próximos trimestres do calendário: 

  • Questionários de autoavaliação (SAQs)
  • Relatório de Conformidade (ROC)
  • Atestados de conformidade (AOCs)

Melhor prática: Monitore https://blog.pcisecuritystandards.org para atualizações ou revisões dos padrões e converse com seu auditor do PCI DSS para garantir que sua organização esteja no caminho certo para atender aos requisitos do PCI DSS.

Para saber mais, visite f5.com/products/distributed-cloud-services .