Client-Side Protection & Compliance: combata las amenazas y contribuya a cumplir el estándar PCI DSS v4

Un panorama de ataques ampliado

Aunque JavaScript se ha convertido en una herramienta esencial, también presenta nuevos riesgos de seguridad. Debido a su ejecución descentralizada en el lado del cliente y a la cadena de suministro de dependencias de terceros, JavaScript es extremadamente difícil de supervisar y gestionar para las organizaciones. Los atacantes han aprovechado este punto ciego para explotar las vulnerabilidades de los scripts e inyectar código nocivo en los sitios web desde el navegador. Posteriormente, pueden recopilar y exfiltrar información confidencial de los usuarios finales, incluidos los datos de las tarjetas de pago.

Estos ataques, como el robo de información web, el Magecarty el formjacking, se han vuelto más sofisticados a lo largo de los años y puede tener consecuencias devastadoras para las empresas. Las víctimas tienen que hacer frente a una disminución de la confianza de los clientes, al tiempo de inactividad del negocio y a la pérdida de ingresos, así como a multas normativas cuantiosas.

Nuevos requisitos de seguridad de JavaScript del lado del cliente

A pesar de su impacto, la prevención de ataques en el lado del cliente no ha sido un objetivo de seguridad para la mayoría de las organizaciones, y muchos sitios web siguen sin protección. Para proteger los datos de pago en el navegador, las Normas de seguridad de datos del Sector de las tarjetas de pago han incorporado nuevos requisitos de seguridad de JavaScript del lado del cliente en la última versión de PCI DSS (versión 4.0) publicada en marzo de 2022.

Para cumplirlos, cualquier organización que procese datos de tarjetas de pago en línea debe saber qué scripts se están ejecutando en su sitio, cuándo cambian estos scripts y qué acciones están llevando a cabo. PCI DSS v4,0 entrará en vigor en marzo de 2025, lo que deja a las empresas un breve periodo de tiempo para cumplir estos requisitos.

Introducción a Client-Side Protection & Compliance de Akamai

Client-Side Protection & Compliance de Akamai es una solución de seguridad de aplicaciones web diseñada para defender los sitios web frente a amenazas de JavaScript y facilitar el cumplimiento de los nuevos requisitos de seguridad de JavaScript (6.4.3 y 11.6.1) que se describen en PCI DSS v4.0.

Client-Side Protection & Compliance se ejecuta en el explorador del usuario final y supervisa las ejecuciones JavaScript del lado del cliente en una página web protegida. Cuando los scripts muestran cambios de comportamiento, las técnicas de aprendizaje automático evalúan el riesgo de acciones no autorizadas o inapropiadas, lo que activa alertas en tiempo real para que los equipos de seguridad las investiguen.

Los usuarios pueden mitigar las amenazas potenciales con un sencillo clic, que impide que el código JavaScript malicioso acceda a información confidencial del usuario final y la extraiga, incluidos los datos de tarjetas de pago.

Ayuda específica para el cumplimiento de PCI DSS v4.0

Client-Side Protection & Compliance proporciona una amplia asistencia para ayudar a las empresas a cumplir los requisitos 6.4.3 y 11.6.1 del estándar PCI DSS v4.0. Realiza un seguimiento e inventario de todos los scripts de las páginas de pagos, garantizando su integridad y autorización. Los equipos de seguridad pueden justificar fácilmente la finalidad de los scripts que se ejecutan en las páginas de pago, con justificaciones predefinidas y reglas automatizadas.

La solución también supervisa los cambios en los encabezados HTTP y en la protección de las páginas de pago para evitar una posible manipulación. Un completo panel y alertas específicas de PCI facilitan la respuesta rápida a eventos relacionados con el cumplimiento y proporcionan pruebas para auditoría.

Amplia visibilidad de las amenazas JavaScript

Es una idea errónea común que los firewalls de aplicaciones web (WAF) proporcionan protección contra ataques del lado del cliente. Debido a que los WAF analizan el tráfico del lado del servidor, no pueden detectar ni prevenir los ataques que se producen en el navegador del usuario final. Client-Side Protection & Compliance de Akamai complementa a un WAF, ya que proporciona una visibilidad inigualable de la superficie de ataque del lado del cliente en su sitio web. Realiza un seguimiento del comportamiento de la ejecución de scripts, detecta vulnerabilidades y exposiciones comunes (CVE) y evalúa el alcance y el impacto de cada script.

Client-Side Protection & Compliance también proporciona inteligencia sobre los datos a los que acceden los scripts y las posibles amenazas, eliminando los puntos ciegos y garantizando una protección completa. La solución se combina a la perfección con el líder del sector App & API Protector de Akamai, proporcionando una defensa integral contra las amenazas tanto del lado del servidor como del lado del cliente.

Conozca el lado del cliente

Client-Side Protection & Compliance es una solución independiente de la red de distribución de contenido (CDN) que se puede implementar dentro o fuera de Akamai Connected Cloud y no requiere soluciones de seguridad adicionales de Akamai. Funciona con sitios web complejos y aplicaciones de una sola página y no tiene un impacto significativo en el rendimiento de la página. Con una configuración rápida, las empresas pueden obtener protección inmediata contra las amenazas JavaScript y optimizar los flujos de trabajo que cumplen con PCI DSS v4,0.