“Os dados sensíveis de uma operação rotineira de compra através de um cartão de crédito, tais como nome do portador, número do cartão, validade e código de segurança, estão sempre na mira dos fraudadores. No cenário atual, com o crescente uso virtual dos cartões, seja para compras online ou por meio do celular do titular, as operadoras de cartões e os desenvolvedores de APIs compartilham as mesmas preocupações com segurança e precisam empregar as mais avançadas técnicas de proteção para impedir que os criminosos sejam bem-sucedidos.”
O alerta é de Daniela Costa, diretora para a América Latina da Salt Security, empresa líder em segurança de API. O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) ganhou recentemente sua versão 4.0, com um maior foco na proteção das APIs, ao enfatizar a importância das práticas seguras de desenvolvimento de aplicações ao longo de todo o seu ciclo de vida.
“Esta ação reforça a importância de se manter uma governança completa de todas as APIs, que são as rotas por onde trafegam os dados sensíveis das aplicações modernas. Esta governança se traduz em garantir um inventário atualizado das APIs, além de assegurar o cumprimento das melhores práticas de desenvolvimento. A indústria de cartões, bem como a de serviços financeiros em geral, está cada vez mais certa de que a proteção dos dados sensíveis que elas possuem e manipulam está diretamente ligada à segurança das APIs”, analisa a executiva.
Um dos itens da nova versão do PCI DSS (o 6.4) defende que as aplicações web devem ser gerenciadas de forma contínua por meio da implementação de um Programa de Gerenciamento de Vulnerabilidades, destacando também a necessidade de se implantar uma solução técnica automatizada que detecte e evite ataques baseados na Web.
“Com a crescente sofisticação dos ataques realizados pelos cibercriminosos, é crucial ir além das verificações básicas de códigos; é necessário monitorar as APIs produtivas analisando o comportamento como base para a identificação de atividades maliciosas. Nos ataques mais comuns hoje dirigidos às organizações não existe violação de política e sim um abuso e/ou uma manipulação da lógica do negócio, o que é impossível de ser detectado sem o uso de novas tecnologias como Machine Learning e Inteligência Artificial”, destaca Daniela.
O PCI DSS defende também a realização de avaliações periódicas de risco, a implementação de mecanismos de autenticação forte e a proteção dos dados do titular do cartão tanto em repouso como em trânsito. “Neste cenário fica claro como é vital a adoção de ferramentas que contribuam para o processo de avaliação de risco e se integrem aos mecanismos existentes de autenticação forte, como a autenticação multifator (MFA) para acesso à API”, recomenda a executiva .
A questão da proteção dos dados do titular do cartão também passa pelo emprego de protocolos criptográficos fortes, com as novas regras de postura do PCI DSS sinalizando quando os dados estão sendo transmitidos por um canal não criptografado. “Cada empresa tem suas necessidades próprias de proteção. Um ecossistema seguro demanda que a empresa tenha uma visão clara de seu universo de APIs e de como elas interagem com os dados sensíveis para então adotar uma solução abrangente e capaz de fornecer uma defesa eficiente contra o cibercrime”, complementa Daniela Costa.