PCI DSS 4.0.1 更新: 客户支付处理器需要进行重大新 API 安全升级
最新 PCI DSS(支付卡行业数据安全标准)4.0.1更新意义重大,更加重视包括API和客户端脚本在内的软件供应链。
随着 PCI DSS 3.2.1 的退役,处理支付的组织必须适应现代基于微服务的应用、多云环境和日益增多的 API 实施的不断发展的格局。
这篇博文探讨了PCI DSS 4.0.1 中引入的一些关键的新要求,这些要求专门用于保护 API,API 已成为几乎所有行业和组织交易不可或缺的一部分。
新任务包括:
- 部署前测试 6.2.3: 这强调对定制和定制软件(包括发布前的 API)进行严格的审查、测试和安全开发实践,以识别和纠正代码漏洞。
- 防范常见威胁6.2.4: 组织必须实施控制措施来防止或减轻常见的软件攻击以及定制软件中的相关漏洞。 重点包括业务逻辑的滥用、注入攻击(例如SQL、LDAP、XPATH或其他命令、参数、对象、故障等)以及对访问控制和数据的攻击。 所有这些对于 API 的保护都至关重要。
- 定制软件 6.3.2 的盘点与洞察: 企业还必须保持定制软件的可见性和库存,包括 API 和第三方组件,以促进漏洞管理和修补,确保全面的安全态势。
- 生产可见性、威胁检测和测试 6.4.1 和 6.4.2: 此次更新强调了定期测试、持续监控和保护面向公众的 Web应用和 API 以防范漏洞、已知攻击和新出现的威胁的必要性。 这些要求包括:
- 定期(至少每年一次)扫描和测试面向公众的 Web 应用程序和 API
- 部署在面向公众的 Web 应用程序和 API 前端的技术解决方案,用于检测和防止基于 Web 和 API 的攻击
组织必须于 2025 年 3 月之前遵守规定
PCI DSS 4.0 标准的最新修订版由 PCI 安全标准委员会于 2024 年 6 月发布,旨在响应近年来观察到的业务和技术转型。 这些变化承认了 API 的广泛采用以及应用程序和基础设施的演变,这些应用程序和基础设施支持着越来越多的服务和交互,为当今日益数字化的经济提供动力,包括面对面、网络和移动支付系统。
API 代表了威胁范式的转变, API OWASP TOP 10中涵盖了一组特定的威胁。 它们容易受到与传统 Web 应用程序相同的大多数攻击和漏洞,但通常会直接暴露业务逻辑,这使它们成为攻击者越来越理想的目标。 他们要求一组特定的控制来保护数据未授权访问、操纵或泄露,以确保隐私并维护用户和利益相关者的信任,以及确保 API 通信的机密性、完整性和可用性。
2025 年 3 月是各组织必须遵守的最后期限,这凸显了企业遵守这些新规范以保护 API 及其客户端脚本的紧迫性。
确保合规的一些策略
为了有效满足 PCI DSS 4.0 标准并保护其整个威胁面,组织应评估其现有的安全基础设施、流程和功能,并考虑实施可提供以下功能的解决方案:
- 全面的 API 发现: 首先与代码存储库集成,直接从源头构建完整、准确的库存和文档。 但它还包括基于流量的分析和域爬行,以识别影子、僵尸、非托管和第三方 API。
- 强大的 API 测试: 此类测试提供 API 代码的预生产分析以及面向公众的应用程序和 API 的动态测试,从而持续识别漏洞并提供上下文和补救指导。
- 运行时保护: 它需要在线执行和控制机制来阻止、限制和执行正确的 API 行为。 这确实包括 WAF 和其他 API 特定功能,以实现 API 保护规则、速率限制、数据屏蔽和模式执行功能,以提供积极的安全模型。
- 持续监控和异常检测: 包括基于 AI/ML 的行为分析和 API 的持续流量检查,以识别潜在攻击、敏感数据暴露和其他可能表明 API 端点被滥用或破坏的异常 API 行为。
更新内容重大,但合规性并不一定令人望而生畏
PCI DSS 4.0.1 对 API 安全性的关注标志着在当今复杂且不断发展的 IT 环境中保护数字交易迈出了重要一步。
随着截止日期的临近,增强 API 安全性的主动措施对于实现和保持合规性至关重要。 它们还将提高您的基础设施抵御针对 API 和客户端脚本的网络威胁和攻击的弹性,加强对客户支付卡数据和信息的保护,并加深您的组织与客户和监管机构的信任和信誉。
您可以通过评估当前的 API 安全实践、识别差距并实施必要的改进,为您的组织做好符合 PCI DSS 4.0.1 的准备。 随时了解PCI 安全标准委员会提供的其他资源和指导,以确保在 2025 年 3 月之前做好准备。
这不一定是一项艰巨的任务。 F5 拥有专业知识和解决方案,可帮助组织评估和实施符合新要求的控制并增强您的 Web 应用程序和 API 安全态势。
查看F5 完整 API 安全性的实际演示,并立即联系我们,安排与我们的一位专家会面。