BLOG

Aja agora: Novos requisitos do PCI DSS v4.0 abordam ataques baseados em navegador

Miniatura de Angel Grant
Concessão do anjo
Publicado em 03 de janeiro de 2023

Atenção, varejistas on-line e fornecedores de comércio eletrônico: Quando se trata de proteger dados do lado do cliente e pagamentos online contra ataques de clonagem digital e Magecart, há um novo xerife na cidade.

Em março de 2022, o Payment Card Industry (PCI) Security Standards Council lançou uma versão revisada de seu Padrão de Segurança de Dados, PCI DSS v4.0, que delineia os requisitos mínimos de segurança que os comerciantes devem atender ao armazenar, processar e transmitir dados do titular do cartão. Os requisitos revisados incluem uma série de melhorias para garantir transações on-line seguras e protegidas para proteger consumidores, empresas e emissores de cartões durante transações comerciais on-line.

Os novos requisitos se concentram na necessidade de monitorar e gerenciar bibliotecas JavaScript de terceiros baseadas em navegador que são incorporadas em sites de comércio eletrônico para fornecer funcionalidades prontas para uso, como iFrames de processamento de pagamentos, chatbots, publicidade, botões de compartilhamento social e scripts de rastreamento. Embora essas bibliotecas JavaScript ajudem as empresas a acelerar o desenvolvimento de sites, elas também abrem um amplo vetor de ameaças para criminosos cibernéticos, pois esses scripts podem ser facilmente comprometidos por meio de ataques de clonagem digital e Magecart para roubar credenciais, informações de cartão de crédito e outras PII.

Embora essas violações sejam claramente prejudiciais aos consumidores fraudados, elas também são ruins para o seu negócio, pois podem resultar em violações de conformidade, perda de receita, queda no preço das ações, avaliações hostis nas mídias sociais e danos ao patrimônio da marca.   

Embora a conformidade com os novos requisitos do PCI DSS 4.0 não seja obrigatória até 2025, não espere! Os tipos de ataques que os requisitos abordam estão acontecendo hoje. Agora é o momento de proteger a reputação da sua empresa e seus clientes contra ataques e fraudes, implementando proteções aprimoradas o mais rápido possível.

Quais são os perigos dos ataques do lado do cliente?

Não muito tempo atrás, aplicativos web comerciais eram criados como um pedaço monolítico de código fornecido por um servidor web local. No entanto, os aplicativos web modernos de hoje são muito diferentes e geralmente são projetados pela junção de bibliotecas JavaScript de terceiros, com grande parte do processamento ocorrendo no lado do cliente, no navegador do consumidor. Estima-se que 70% a 80% de uma página da web típica seja composta de bibliotecas de terceiros, e alguns desses scripts contêm código de outro conjunto de scripts de terceiros. Essa longa cadeia de dependências de código significa que as empresas não têm muita visibilidade ou controle do código que está realmente sendo executado em seus sites.

Os agentes de ameaças percebem que, devido ao escopo e à escala dessas dependências de n-ésima parte, as organizações têm dificuldade para gerenciar, rastrear e proteger adequadamente o código executado em seu ambiente e não conseguem nem detectar quando o código foi alterado ou explorado. Essa falta de visibilidade apresenta uma abertura para que criminosos cibernéticos injetem scripts maliciosos em uma página da web legítima ou código de aplicativo da web e lancem ataques para interceptar, manipular e sequestrar sessões de usuários. Eles conseguem então roubar dados pessoais e informações de pagamento, assumir o controle e desfigurar sites, apresentar conteúdo falso, criar novos formulários ou alterar formulários legítimos — tudo isso pode preparar o terreno para fraudes e apropriação indébita de contas.

O que o PCI DSS v4.0 requer

O padrão revisado identifica especificamente melhorias na segurança da web do lado do cliente como essenciais para qualquer empresa que aceite pagamentos online. O padrão determina que todos os scripts de página de pagamento que são carregados e executados no navegador do consumidor exigirão gerenciamento abrangente. Especificamente, o novo padrão 6.4.3 exige que os fornecedores de comércio eletrônico implementem:

  • Um método para confirmar que cada script está autorizado
  • Um método para garantir a integridade de cada script
  • Um inventário de todos os scripts com justificativa por escrito sobre o porquê de cada um ser necessário

O novo padrão exige que os comerciantes examinem suas políticas e procedimentos para verificar se os processos estão definidos para gerenciar todos os scripts de página de pagamento que são carregados e executados no navegador do consumidor. Eles também devem entrevistar o pessoal responsável e examinar os registros de inventário e as configurações do sistema para verificar se todos os scripts da página de pagamento carregados e executados no navegador do consumidor são gerenciados de acordo com todos os elementos especificados neste requisito.

Além disso, a seção 11.6 do padrão revisado exige que alterações não autorizadas nas páginas de pagamento sejam detectadas e respondidas. Isso requer um mecanismo de detecção de alterações e adulterações que alerte o pessoal sobre modificações não autorizadas nos cabeçalhos HTTP e no conteúdo das páginas de pagamento recebidas pelo navegador do consumidor. As configurações devem ser examinadas pelo menos uma vez a cada sete dias ou na frequência definida na avaliação de análise de risco da organização.

Atender a esses requisitos por meio de soluções manuais ou legadas é caro e exige muitos recursos. Como os scripts de formulários de pagamento são executados no lado do cliente, os comerciantes têm pouca visibilidade sobre seu comportamento, o que torna fácil para códigos maliciosos escaparem da detecção. Além disso, os comerciantes têm pouco controle sobre o código de terceiros, como as bibliotecas dinâmicas de JavaScript que operam recursos de páginas da web, como processadores de pagamento, formulários de consentimento de cookies, chatbots ou rastreadores de anúncios, porque eles são frequentemente atualizados e alterados, muitas vezes sem o conhecimento do comerciante.

Técnicas de detecção existentes, como Sub-Resource Integrity (SRI), que realiza verificações de integridade para garantir que os scripts não foram adulterados, e Content Security Policy (CSP), que limita os locais de onde os navegadores podem carregar um script e enviar dados, não são mais suficientes para proteger os aplicativos da web em constante mudança de hoje.

Ajude sua empresa a estar em conformidade com o PCI DSS v4.0, mais cedo ou mais tarde

Não há razão para esperar até 2025 para cumprir os mandatos de segurança exigidos pelo PCI DSS v4.0. Aja agora para proteger sua empresa de ataques e seus clientes de fraudes e invasão de contas.

O F5 Distributed Cloud Client-Side Defense pode ajudar você imediatamente a atender aos novos requisitos do PCI DSS v4.0 e proteger contra ataques de Magecart, formjacking, skimming digital e coleta de PII, automatizando o monitoramento de páginas da web em busca de código suspeito, gerando alertas acionáveis e interrompendo a exfiltração de dados imediatamente com mitigação em um clique.

Para obter mais informações sobre como você pode proteger a privacidade dos seus clientes e sua empresa contra violações de conformidade, mantendo a confiança do consumidor e a reputação da marca, leia esta visão geral da solução ou assista a esta demonstração do produto.