- As organizações do setor de comércio enfrentam incidentes frequentes relacionados a APIs, com controles de acesso e ataques ligados à IA liderando esse cenário. Os líderes de comércio relatam que a exploração de controles de acesso ausentes ou insuficientes foi o tipo de incidente mais comum enfrentado no ano passado, seguido de perto por ataques envolvendo APIs vinculadas às tecnologias de IA.
- A falta de visibilidade sobre os fluxos de dados sensíveis de clientes e pagamentos continua sendo uma lacuna crítica. Embora muitas organizações do setor de comércio afirmem ter um inventário completo de APIs, pouquíssimas sabem quais dessas APIs retornam dados sensíveis.
- Os líderes de comércio estão priorizando a segurança de IA, mas testando a maturidade e o atraso na proteção do tempo de execução. Proteger tecnologias de IA contra ataques é a principal prioridade de cibersegurança para 41% das organizações do setor de comércio.
Principais conclusões
Perguntas frequentes (FAQ)
Perguntas frequentes (FAQ)
De acordo com a pesquisa de 2026, 85% das empresas do setor de comércio relataram ter sofrido pelo menos um incidente de segurança relacionado a APIs nos últimos 12 meses.
O tipo de incidente mais comum é a exploração de controles de acesso ausentes ou insuficientes, seguido de perto por ataques envolvendo APIs vinculadas a tecnologias de IA.
Os invasores podem usar prompts manipulados para induzir assistentes de compras baseados em IA a enviar solicitações a APIs subjacentes desprovidas de proteções, fazendo com que elas exponham dados confidenciais de clientes ou detalhes de pagamento sem questionar.
A visibilidade é perigosamente baixa, já que apenas cerca de 22% das organizações do setor de comércio conseguem rastrear quais APIs em seu inventário realmente retornam dados sensíveis de clientes ou pagamentos.
O estudo constatou que executivos C-level muitas vezes superestimam a prontidão de suas organizações, relatando níveis de maturidade e integração de 2% a 12% mais altos do que os profissionais de DevSecOps e AppSec que trabalham diariamente com as APIs.
Embora 92% das empresas afirmem levar as APIs em consideração na conformidade, apenas 36% realmente as incluem nos relatórios formais de conformidade, criando uma discrepância entre as intenções de alto nível e as medidas regulatórias na prática.
As equipes devem se concentrar em implementar a descoberta contínua e automatizada de todas as APIs, mudar de testes funcionais para testes rigorosos de segurança ao longo de todo o ciclo de vida de desenvolvimento e adicionar proteção dedicada em tempo de execução baseada em comportamento.