Práticas recomendadas para conformidade com os requisitos de segurança de APIs do PCI DSS v4.0
A dificuldade de acompanhar a evolução das normas não é novidade para as equipes de segurança de TI. Pense em todas as organizações que determinaram uma abordagem para a conformidade com a Diretiva NIS (Network and Information Security) e se depararam com sua atualização: a NIS2. Considerando que mais de 130 jurisdições globais promulgaram leis de privacidade de dados com mandatos passíveis de mudança, não é surpreendente que apenas 9% dos executivos se sintam altamente confiantes em relação ao cumprimento de todos os requisitos de divulgação.
Se você estiver se preparando para atender aos requisitos da versão 4.0 do PCI DSS v4.0 (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), provavelmente também não se sente muito confiante.
Criado pelo Payment Card Industry Security Standards Council (PCI SSC), o PCI DSS tornou-se um padrão global de proteção de dados de pagamento. Se a sua empresa aceita os principais cartões de crédito e processa, armazena ou transmite dados de titulares de cartões eletronicamente, é preciso cumpri-lo.
Os principais pontos do PCI DSS referentes à segurança
Os requisitos da versão original abrangem os principais pontos referentes à segurança, que continuam tão importantes quanto na época de sua publicação, em 2006. Por exemplo:
Monitorar e controlar o acesso a todas as contas administrativas em qualquer sistema de TI que processe ou armazene dados de titulares de cartões
Atribuir o acesso a dados de sistemas e de titulares de cartões com base na necessidade absoluta e definir requisitos de acesso por função
As atualizações de hoje acompanham o ritmo dinâmico do cenário de ameaças
O problema é que o cenário de ameaças atual é mais complexo do que o de 2006.
Sim, as organizações ainda devem lidar com a tendência dos invasores de visar áreas como contas privilegiadas e usuários com permissões excessivas. No entanto, as empresas modernas também precisam adaptar seus programas de conformidade para lidar com os agentes de ameaça que frequentemente visam as milhares de APIs internas das tecnologias de pagamento. Esses invasores sabem que as APIs são fáceis de explorar e podem ser uma maneira eficiente de roubar dados de titulares de cartões.
Portanto, para estar em conformidade com o PCI DSS v4.0, sua organização precisa entender as ameaças às APIs e se proteger contra elas. Nesta publicação, compartilharemos insights sobre os riscos, os requisitos e as maneiras de se manter em conformidade.
Os quatro objetivos principais do PCI DSS v4.0
No geral, o PCI DSS v4.0 concentra-se em quatro objetivos principais:
Continuar atendendo às necessidades de segurança do setor de pagamentos
Promover a segurança como um processo contínuo
Oferecer flexibilidade às empresas (por exemplo, por meio de novas ferramentas e controles) em relação às maneiras pelas quais elas atendem aos requisitos
Aprimorar os métodos e processos de validação
Por que a segurança de APIs é essencial para proteger os dados dos titulares de cartões
O PCI DSS v4.0 estabelece, de maneira explícita, que as APIs são um aspecto central que requer visibilidade e proteção. Todos os quatro objetivos são relevantes. No entanto, o terceiro (flexibilidade para usar novas ferramentas e controles) é especialmente importante devido aos riscos específicos das APIs. Por exemplo:
as APIs estão no centro de seus produtos e serviços digitais voltados para os clientes. As empresas de médio porte, dependendo do tamanho, têm entre 15 mil e 25 mil APIs, todas projetadas para facilitar a troca ininterrupta de dados.
Esses dados incluem informações confidenciais de clientes. Por trás de cada pagamento digital, há uma API transmitindo dados entre aplicativos, sistemas, terceiros etc.
Basta uma API comprometida para que milhões de registros sejam roubados, retidos para devolução mediante pagamento ou divulgados. E APIs expostas ou mal configuradas são predominantes, fáceis de sabotar e, muitas vezes, estão desprotegidas, sem supervisão nem gerenciamento.
Por que as autoridades reguladoras se preocupam com as APIs de tecnologias de pagamento
As autoridades reguladoras conhecem os riscos das APIs; portanto, sua empresa deve demonstrar que possui a visibilidade e os controles necessários para evitar o comprometimento de dados.
De acordo com o Data Breach Investigations Report (Relatório de Investigação de Violações de Dados) de 2023 da Verizon, os dados de cartões de pagamento são comprometidos em mais de um terço (37%) das violações. O PCI DSS v4.0 inclui novos requisitos relacionados à autenticação multifator e ao tamanho de senhas, visando proteger o elemento humano da superfície de ataque do setor de pagamentos.
No entanto, é importante lembrar que as violações de dados nem sempre são causadas por métodos de ataque amplamente divulgados e centrados no ser humano, como o phishing para obtenção de senhas de funcionários.
Por exemplo, 18% dos ataques a empresas de comércio eletrônico envolvem códigos maliciosos incorporados em páginas da web de processamento de cartões. Os invasores estão cada vez mais sofisticados e visam componentes não humanos e automatizados do ambiente de TI que, geralmente, não têm a proteção adequada, como as APIs.
Setenta e oito por cento das empresas sofreram um incidente de segurança relacionado a APIs, de acordo com nossa pesquisa. Reconhecendo a urgência das ameaças às APIs: o PCI DSS v4.0 inclui novas regras, diretrizes e práticas recomendadas de segurança para APIs. Vejamos o requisito 6.2.3 primeiro.
Conformidade com o requisito 6.2.3 do PCI DSS v4.0
O requisito 6.2.3 concentra-se na necessidade de as organizações avaliarem seu código personalizado de aplicativos (ou seja, aplicativos desenvolvidos por um fornecedor externo, mas não aplicativos comerciais padrão prontos para uso) para garantir que não haja vulnerabilidades na produção.
Esse requisito serve de orientação para verificar se o software de uma organização utiliza, de maneira segura, os recursos (como bibliotecas, estruturas, APIs etc.) de componentes externos. Isso diz respeito ao papel central que as APIs desempenham na cadeia de fornecimento de software mais ampla e ao que é necessário para protegê-las.
As APIs se tornaram o método padrão de conectividade e troca de dados em ambientes modernos de aplicativos. Com isso em mente, proteger as APIs com uma abordagem de pré-produção (shift-left) e de pós-produção (shield-right) é essencial para tornar sua empresa digital resiliente a ataques.
Seis práticas recomendadas para segurança de APIs
A seguir, apresentamos seis práticas recomendadas para a segurança de APIs que podem ajudar na conformidade com o requisito 6.2.3.
Verificar o uso de componentes baseados em APIs e sua postura de segurança (por exemplo, identificar quaisquer configurações incorretas que resultem em vulnerabilidades, incluindo o uso de cifras de criptografia fracas, conforme descrito no padrão)
Validar o comportamento normal e esperado do uso de APIs e implementar controles para impedir que agentes suspeitos violem seus sistemas (por exemplo, verificar o comportamento do aplicativo para detectar vulnerabilidades lógicas)
Detectar estruturas de terceiros usadas para impulsionar suas APIs e determinar se alguma delas está desatualizada e vulnerável
Criar um inventário completo de todas as suas APIs, incluindo as diferentes versões em execução, para obter informações sobre recursos e backdoors não documentados que precisam ser gerenciados
Analisar a segurança do código das APIs e evitar a reprodução de quaisquer vulnerabilidades relacionadas a elas
Implementar práticas recomendadas de codificação segura de APIs, o que permitirá que você adote uma abordagem programática para entregar o código de forma segura e contínua
Requisitos adicionais de segurança de APIs no PCI DSS v4.0
O PCI SSC também adicionou ao PCI DSS v4.0 duas outras seções relacionadas à segurança de APIs. Este é um resumo dos dois requisitos adicionais que você precisará cumprir.
O requisito 6.3.2 diz respeito à manutenção de um inventário de softwares personalizados e de componentes de softwares de terceiros incorporados a eles, para facilitar o gerenciamento de vulnerabilidades e correções.
O requisito 6.2.2 trata do treinamento de equipes de desenvolvimento de software que trabalham com softwares personalizados. Ele estabelece que os desenvolvedores devem receber treinamento sobre segurança relevante para suas funções de trabalho pelo menos uma vez a cada 12 meses, incluindo técnicas seguras de design e codificação de software. Esse treinamento inclui ferramentas de teste de segurança e como usá-las para detectar vulnerabilidades no software.
Como o Akamai API Security pode ajudar você a atender aos novos requisitos
Para cada requisito apresentado nesta publicação, o Akamai API Security (Noname Security) oferece a proteção de APIs de que as empresas precisam, não apenas para ajudar você a cumprir com o PCI DSS v4.0, mas também para proteger continuamente os dados que seus clientes confiaram a você.