最新 PCI DSS(支付卡行业数据安全标准)4.0.1更新意义重大,更加重视包括API和客户端脚本在内的软件供应链。
随着 PCI DSS 3.2.1 的退役,处理支付的组织必须适应现代基于微服务的应用、多云环境和日益增多的 API 实施的不断发展的格局。
这篇博文探讨了PCI DSS 4.0.1 中引入的一些关键的新要求,这些要求专门用于保护 API,API 已成为几乎所有行业和组织交易不可或缺的一部分。
新任务包括:
PCI DSS 4.0 标准的最新修订版由 PCI 安全标准委员会于 2024 年 6 月发布,旨在响应近年来观察到的业务和技术转型。 这些变化承认了 API 的广泛采用以及应用程序和基础设施的演变,这些应用程序和基础设施支持着越来越多的服务和交互,为当今日益数字化的经济提供动力,包括面对面、网络和移动支付系统。
API 代表了威胁范式的转变, API OWASP TOP 10中涵盖了一组特定的威胁。 它们容易受到与传统 Web 应用程序相同的大多数攻击和漏洞,但通常会直接暴露业务逻辑,这使它们成为攻击者越来越理想的目标。 他们要求一组特定的控制来保护数据未授权访问、操纵或泄露,以确保隐私并维护用户和利益相关者的信任,以及确保 API 通信的机密性、完整性和可用性。
2025 年 3 月是各组织必须遵守的最后期限,这凸显了企业遵守这些新规范以保护 API 及其客户端脚本的紧迫性。
为了有效满足 PCI DSS 4.0 标准并保护其整个威胁面,组织应评估其现有的安全基础设施、流程和功能,并考虑实施可提供以下功能的解决方案:
PCI DSS 4.0.1 对 API 安全性的关注标志着在当今复杂且不断发展的 IT 环境中保护数字交易迈出了重要一步。
随着截止日期的临近,增强 API 安全性的主动措施对于实现和保持合规性至关重要。 它们还将提高您的基础设施抵御针对 API 和客户端脚本的网络威胁和攻击的弹性,加强对客户支付卡数据和信息的保护,并加深您的组织与客户和监管机构的信任和信誉。
您可以通过评估当前的 API 安全实践、识别差距并实施必要的改进,为您的组织做好符合 PCI DSS 4.0.1 的准备。 随时了解PCI 安全标准委员会提供的其他资源和指导,以确保在 2025 年 3 月之前做好准备。
这不一定是一项艰巨的任务。 F5 拥有专业知识和解决方案,可帮助组织评估和实施符合新要求的控制并增强您的 Web 应用程序和 API 安全态势。
查看F5 完整 API 安全性的实际演示,并立即联系我们,安排与我们的一位专家会面。