Prácticas recomendadas para cumplir la norma PCI DSS v4.0 sobre seguridad de API

Los requisitos de la versión original abarcan los pilares fundamentales de seguridad que son tan importantes actualmente como lo eran cuando se publicaron por primera vez en 2006. Por ejemplo:

• Supervisar y controlar el acceso a todas las cuentas administrativas de cualquier sistema de TI que procese o almacene datos de titulares de tarjetas

• Asignar el acceso a los datos del sistema y del titular de la tarjeta según sea necesario y definir los requisitos de acceso por función

El problema es que el panorama de amenazas actual es más complejo que el de 2006.

Sí, las organizaciones todavía deben abordar la tendencia de los atacantes a dirigirse a áreas como cuentas con privilegios y usuarios con un número de permisos excesivo. No obstante, también necesitan adaptar sus programas de cumplimiento para tener en cuenta a los atacantes que tienen como objetivo los miles de API que incluyen las tecnologías de pago. Estos atacantes saben que las API son fáciles de explotar y ofrecen una forma eficaz de robar los datos de los titulares de tarjetas.

Por lo tanto, para cumplir con la norma PCI DSS v4.0, es necesario que su organización sepa comprender las amenazas dirigidas a las API y defenderse frente a ellas. En esta entrada del blog, compartiremos información sobre los riesgos, los requisitos y las diferentes formas de cumplir la normativa.

En general, la norma PCI DSS v4.0 se centra en cuatro objetivos clave:

1. seguir satisfaciendo las necesidades de seguridad del sector de pagos;

2. abogar por la seguridad como un proceso continuo;

3. ofrecer a las empresas flexibilidad (por ejemplo, nuevas herramientas o nuevos controles) para cumplir los requisitos; y

4. mejorar los métodos y procesos de validación.

La norma PCI DSS v4.0 considera explícitamente las API como un área clave que requiere visibilidad y protección. Entran en juego los cuatro objetivos. Sin embargo, el tercero (flexibilidad para utilizar nuevas herramientas y controles) es particularmente importante debido a los riesgos únicos que presentan las API. Por ejemplo:

• Las API residen en el centro de todos los productos y servicios digitales que ofrece al cliente. La empresa media tiene entre 15 000 y 25 000 API, según su tamaño, diseñadas para facilitar el intercambio ininterrumpido de datos. 

• Estos datos incluyen información confidencial del cliente. En cada pago digital entra en juego una API que transmite datos entre aplicaciones, sistemas o terceros, entre otros.

• Una sola API comprometida podría dar lugar al robo, la retención o la publicación de millones de registros para que todo el mundo pueda verlos. Y las API expuestas o mal configuradas prevalecen, son fáciles de vulnerar y, a menudo, no están protegidas, pasan desapercibidas o no se gestionan.

Los organismos reguladores son conscientes del riesgo de las API y su empresa debe demostrar que dispone de la visibilidad y los controles necesarios para evitar que los datos se vean comprometidos.

Los datos de las tarjetas de pago se ven afectados en más de un tercio (37 %) de las infracciones, según el Informe de 2023 de investigación sobre filtración de datos de Verizon. PCI DSS v4.0 incluye nuevos requisitos sobre la autenticación multifactorial y la longitud de la contraseña para proteger el elemento humano de la superficie de ataque del sector de los pagos.

No obstante, es importante recordar que las filtraciones de datos no siempre se deben a métodos de ataque bien conocidos y centrados en el ser humano, como el phishing para las contraseñas de los empleados.

Por ejemplo, el 18 % de los ataques a empresas de comercio electrónico implican el uso de código malicioso incrustado en las páginas web para el procesamiento de tarjetas. Los atacantes actuales son cada vez más sofisticados y se centran en los componentes automatizados no humanos del entorno de TI que no suelen estar bien protegidos, como las API.

El 78 % de las empresas ha sufrido un incidente de seguridad relacionado con las API, según nuestra investigación. A fin de reconocer la urgencia de las amenazas de API, PCI DSS v4.0 incluye nuevas reglas, directrices y prácticas recomendadas para la seguridad de las API. Para obtener más información, pasemos a describir el requisito 6.2.3.

El requisito 6.2.3 se centra en la necesidad de que las organizaciones revisen el código de las aplicaciones hechas a medida (es decir, aplicaciones desarrolladas por un proveedor externo distintas a las aplicaciones comerciales estándar disponibles en el mercado) para garantizar que no se transmita ninguna vulnerabilidad a la fase de producción.

Este requisito ofrece orientación para confirmar que el software de una organización utiliza de forma segura las funciones de los componentes externos (bibliotecas, marcos de trabajo, API, etc.), lo que refleja el papel tan importante que desempeñan las API en la cadena de suministro de software y lo que se necesita para protegerlas.

Las API se han convertido en el método predeterminado de conectividad e intercambio de datos en los entornos de aplicaciones modernos. Teniendo esto en cuenta, proteger las API tanto con un enfoque de preproducción ("shift-left") como con un enfoque de posproducción ("shield-right") es esencial para que su empresa digital pueda resistir los ataques.

A continuación se presentan seis prácticas recomendadas de seguridad de API que le ayudarán a cumplir el requisito 6.2.3.

1. Confirmar el uso de componentes basados en API y su postura de seguridad (por ejemplo, detectar cualquier error de configuración que provoque vulnerabilidades, incluido el uso de métodos de cifrado débiles, como se indica en el estándar)

2. Validar el comportamiento normal y esperado del uso de la API e implementar controles para bloquear a los agentes sospechosos de manera que no vulneren sus sistemas (por ejemplo, comprobar el comportamiento de la aplicación para detectar vulnerabilidades lógicas)

3. Detectar los marcos de trabajo utilizados por terceros para potenciar las API y determinar si alguno de ellos está obsoleto y es vulnerable

4. Crear un inventario completo de todas sus API, incluidas las diferentes versiones de API que está ejecutando, lo que le proporcionará información sobre posibles funciones no documentadas y puertas traseras que deba gestionar

5. Validar la seguridad de su código de API y evitar transmitir cualquier vulnerabilidad a la fase de producción

6. Implementar prácticas recomendadas de codificación segura para API, lo que le permitirá adoptar un enfoque programático para distribuir código de forma segura y continua

PCI SSC también ha añadido otras dos secciones, que incluyen la seguridad de las API, a la norma PCI DSS v4.0. A continuación se ofrece un resumen de los dos requisitos adicionales que deberá cumplir.

• Requisito 6.3.2 : se aplica al mantenimiento de un inventario de software personalizado y hecho a medida, así como de componentes de software de terceros que se han incorporado al software personalizado y hecho a medida, para facilitar la gestión de vulnerabilidades y parches.

• Requisito 6.2.2 : se encarga de la formación del personal de desarrollo de software que trabaja en la creación de software personalizado y hecho a medida. Afirma que los desarrolladores deben recibir formación al menos una vez cada 12 meses sobre las medidas de seguridad relevantes para su puesto de trabajo, que incluye el diseño de software seguro y las técnicas de codificación seguras. Esta formación incluye herramientas de pruebas de seguridad y cómo utilizarlas para detectar vulnerabilidades en el software.