Práticas recomendadas para conformidade com os requisitos de segurança de APIs do PCI DSS v4.0

Os requisitos da versão original abrangem os principais pontos referentes à segurança, que continuam tão importantes quanto na época de sua publicação, em 2006. Por exemplo:

• Monitorar e controlar o acesso a todas as contas administrativas em qualquer sistema de TI que processe ou armazene dados de titulares de cartões

• Atribuir o acesso a dados de sistemas e de titulares de cartões com base na necessidade absoluta e definir requisitos de acesso por função

O problema é que o cenário de ameaças atual é mais complexo do que o de 2006.

Sim, as organizações ainda devem lidar com a tendência dos invasores de visar áreas como contas privilegiadas e usuários com permissões excessivas. No entanto, as empresas modernas também precisam adaptar seus programas de conformidade para lidar com os agentes de ameaça que frequentemente visam as milhares de APIs internas das tecnologias de pagamento. Esses invasores sabem que as APIs são fáceis de explorar e podem ser uma maneira eficiente de roubar dados de titulares de cartões.

Portanto, para estar em conformidade com o PCI DSS v4.0, sua organização precisa entender as ameaças às APIs e se proteger contra elas. Nesta publicação, compartilharemos insights sobre os riscos, os requisitos e as maneiras de se manter em conformidade.

No geral, o PCI DSS v4.0 concentra-se em quatro objetivos principais:

1. Continuar atendendo às necessidades de segurança do setor de pagamentos

2. Promover a segurança como um processo contínuo

3. Oferecer flexibilidade às empresas (por exemplo, por meio de novas ferramentas e controles) em relação às maneiras pelas quais elas atendem aos requisitos

4. Aprimorar os métodos e processos de validação

O PCI DSS v4.0 estabelece, de maneira explícita, que as APIs são um aspecto central que requer visibilidade e proteção. Todos os quatro objetivos são relevantes. No entanto, o terceiro (flexibilidade para usar novas ferramentas e controles) é especialmente importante devido aos riscos específicos das APIs. Por exemplo:

• as APIs estão no centro de seus produtos e serviços digitais voltados para os clientes. As empresas de médio porte, dependendo do tamanho, têm entre 15 mil e 25 mil APIs, todas projetadas para facilitar a troca ininterrupta de dados. 

• Esses dados incluem informações confidenciais de clientes. Por trás de cada pagamento digital, há uma API transmitindo dados entre aplicativos, sistemas, terceiros etc.

• Basta uma API comprometida para que milhões de registros sejam roubados, retidos para devolução mediante pagamento ou divulgados. E APIs expostas ou mal configuradas são predominantes, fáceis de sabotar e, muitas vezes, estão desprotegidas, sem supervisão nem gerenciamento.

As autoridades reguladoras conhecem os riscos das APIs; portanto, sua empresa deve demonstrar que possui a visibilidade e os controles necessários para evitar o comprometimento de dados.

De acordo com o Data Breach Investigations Report (Relatório de Investigação de Violações de Dados) de 2023 da Verizon, os dados de cartões de pagamento são comprometidos em mais de um terço (37%) das violações. O PCI DSS v4.0 inclui novos requisitos relacionados à autenticação multifator e ao tamanho de senhas, visando proteger o elemento humano da superfície de ataque do setor de pagamentos.

No entanto, é importante lembrar que as violações de dados nem sempre são causadas por métodos de ataque amplamente divulgados e centrados no ser humano, como o phishing para obtenção de senhas de funcionários.

Por exemplo, 18% dos ataques a empresas de comércio eletrônico envolvem códigos maliciosos incorporados em páginas da web de processamento de cartões. Os invasores estão cada vez mais sofisticados e visam componentes não humanos e automatizados do ambiente de TI que, geralmente, não têm a proteção adequada, como as APIs.

Setenta e oito  por cento das empresas sofreram um incidente de segurança relacionado a APIs, de acordo com nossa pesquisa. Reconhecendo a urgência das ameaças às APIs: o PCI DSS v4.0 inclui novas regras, diretrizes e práticas recomendadas de segurança para APIs. Vejamos o requisito 6.2.3 primeiro.

O requisito 6.2.3 concentra-se na necessidade de as organizações avaliarem seu código personalizado de aplicativos (ou seja, aplicativos desenvolvidos por um fornecedor externo, mas não aplicativos comerciais padrão prontos para uso) para garantir que não haja vulnerabilidades na produção.

Esse requisito serve de orientação para verificar se o software de uma organização utiliza, de maneira segura, os recursos (como bibliotecas, estruturas, APIs etc.) de componentes externos. Isso diz respeito ao papel central que as APIs desempenham na cadeia de fornecimento de software mais ampla e ao que é necessário para protegê-las.

As APIs se tornaram o método padrão de conectividade e troca de dados em ambientes modernos de aplicativos. Com isso em mente, proteger as APIs com uma abordagem de pré-produção (shift-left) e de pós-produção (shield-right) é essencial para tornar sua empresa digital resiliente a ataques.

A seguir, apresentamos seis práticas recomendadas para a segurança de APIs que podem ajudar na conformidade com o requisito 6.2.3.

1. Verificar o uso de componentes baseados em APIs e sua postura de segurança (por exemplo, identificar quaisquer configurações incorretas que resultem em vulnerabilidades, incluindo o uso de cifras de criptografia fracas, conforme descrito no padrão)

2. Validar o comportamento normal e esperado do uso de APIs e implementar controles para impedir que agentes suspeitos violem seus sistemas (por exemplo, verificar o comportamento do aplicativo para detectar vulnerabilidades lógicas)

3. Detectar estruturas de terceiros usadas para impulsionar suas APIs e determinar se alguma delas está desatualizada e vulnerável

4. Criar um inventário completo de todas as suas APIs, incluindo as diferentes versões em execução, para obter informações sobre recursos e backdoors não documentados que precisam ser gerenciados

5. Analisar a segurança do código das APIs e evitar a reprodução de quaisquer vulnerabilidades relacionadas a elas

6. Implementar práticas recomendadas de codificação segura de APIs, o que permitirá que você adote uma abordagem programática para entregar o código de forma segura e contínua

O PCI SSC também adicionou ao PCI DSS v4.0 duas outras seções relacionadas à segurança de APIs. Este é um resumo dos dois requisitos adicionais que você precisará cumprir.

• O requisito 6.3.2 diz respeito à manutenção de um inventário de softwares personalizados e de componentes de softwares de terceiros incorporados a eles, para facilitar o gerenciamento de vulnerabilidades e correções.

• O requisito 6.2.2 trata do treinamento de equipes de desenvolvimento de software que trabalham com softwares personalizados. Ele estabelece que os desenvolvedores devem receber treinamento sobre segurança relevante para suas funções de trabalho pelo menos uma vez a cada 12 meses, incluindo técnicas seguras de design e codificação de software. Esse treinamento inclui ferramentas de teste de segurança e como usá-las para detectar vulnerabilidades no software.