BLOG

O relógio PCI DSS 3.2.1 atingiu a meia-noite... Você está pronto para 4.0?

Edward O'Connell Miniatura
Edward O'Connell
Publicado em 01 de abril de 2024

Domingo, 31 de março de 2024, uma data importante no mundo todo chegou e passou. Por que digo isso? Para qualquer organização que receba pagamentos de consumidores, é a data em que o padrão de conformidade PCI DSS 3.2.1 foi descontinuado (1º de maio de 2018 a 31 de março de 2024). Sua organização agora está no cronograma do PCI DSS 4.0 e precisará concluir um SAQ compatível com 4.0 e uma auditoria por uma organização externa até março de 2025. A não adesão ao PCI DSS 4.0 não é uma opção se você deseja contabilizar receita por meio de pagamentos ao consumidor.

A especificação PCI DSS 4.0 é uma atualização importante da versão 3.2.1 e você pode encontrar o resumo das alterações aqui . A versão 4.0 introduz inúmeras mudanças (e também um SAQ atualizado ), mas há duas áreas totalmente novas que precisam ser protegidas na estrutura geral para atingir e manter a conformidade:

  • Interface de programação de aplicativos (API) [2.2.7; 6.2.3; 6.2.4]
  • Software personalizado [6.X; 8.6.2; 12.8.1]

Para simplificar, vamos nos aprofundar um pouco mais em uma parte do "software personalizado". Este é um software personalizado criado pela organização para ajudar a facilitar o pagamento do consumidor. O software personalizado é o seguinte:

  • Desenvolvido internamente ou de fontes externas de terceiros
  • Software desenvolvido para o aplicativo de pagamento (lado do servidor da transação) ou enviado para o navegador da web do consumidor (lado do cliente da transação) para conduzir a coleta de dados

Um desafio para muitas organizações será estender a segurança e a conformidade com o PCI DSS do software personalizado para o navegador da web do consumidor (Requisitos 6.4.1; 11.6.1). Proteger transações agora significa não apenas proteger o lado do servidor, mas também monitorar e proteger o navegador da web do consumidor de "software personalizado" que eles lançaram. E obter o software personalizado (por exemplo, JavaScript) para o navegador do cliente de um terceiro não isenta o cobrador de pagamentos de ter que monitorá-lo e protegê-lo. Tentar apontar o dedo para a fonte não levará você a lugar nenhum com o auditor.

Então, quais são os requisitos para software personalizado do lado do cliente? Da seção 6.4.1, tudo se resume a isto:

Todos os scripts da página de pagamento que são carregados e executados no navegador do consumidor são gerenciados da seguinte forma:

  • Um método é implementado para confirmar que cada script está autorizado.
  • Um método é implementado para garantir a integridade de cada script.
  • Um inventário de todos os scripts é mantido com justificativa por escrito do motivo pelo qual cada um é necessário.

Isso significa que todos os softwares (scripts) enviados devem ser inventariados, justificados e monitorados com um plano de ação para remediar caso uma violação seja identificada. Sua equipe de segurança de aplicativos/TI está pronta para gerenciar, monitorar e relatar esse requisito? Você e sua equipe conversaram com o auditor do PCI DSS sobre o agendamento da revisão de conformidade do 4.0? É hora de garantir que seu plano de segurança e conformidade com PCI DSS esteja no caminho certo e não seja um obstáculo para suas operações de segurança e, mais importante, para a arrecadação de receitas de sua organização também. Porque proteger o lado do cliente das suas transações para atender à conformidade com o PCI DSS 4.0 está muito mais perto do que você imagina.