X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

Incorpore a segurança de APIs à conformidade regulatória: seis exemplos a serem considerados

John Natale

escrito por

John Natale

August 21, 2024

John Natale

escrito por

John Natale

John Natale é gerente de marketing de conteúdo global na Akamai.

Uma API vulnerável é o que basta para que seus dados sejam comprometidos, roubados ou mostrados ao mundo.
Uma API vulnerável é o que basta para que seus dados sejam comprometidos, roubados ou mostrados ao mundo.

P: Por que as empresas estão sendo multadas por incidentes com a segurança de APIs? 

R: Porque as autoridades reguladoras estão começando a observar aquilo que os invasores já sabem: APIs expostas ou mal configuradas são predominantes e fáceis de comprometer e, muitas vezes, estão desprotegidas. 

Uma API vulnerável é tudo que basta  

Sempre que um cliente, parceiro ou fornecedor se envolve com sua empresa digitalmente, há uma API nos bastidores que facilita uma rápida troca de dados, geralmente confidenciais. Os invasores modernos sabem que nem sempre precisam se envolver em esquemas complexos e de várias etapas para roubar seus dados. Em vez disso, eles podem burlar o caminho intermediário — por exemplo, seus aplicativos — e visar suas APIs diretamente.

Faz diferença se um documento regulatório de 200 páginas menciona explicitamente, implica sutilmente ou indica vagamente que a segurança de APIs é importante? Não exatamente. Porque uma violação de dados é uma violação de dados, não importa como ou onde ela foi executada. Uma API vulnerável é o que basta para que seus dados sejam comprometidos, roubados ou mostrados ao mundo.

As violações de dados estão acontecendo enquanto você espera

A segurança de APIs pode esperar enquanto você prioriza as ameaças que as autoridades reguladoras estão escolhendo, como ransomware? Infelizmente, não. As APIs se multiplicam em número e em risco, à medida que as empresas implementam novos produtos e serviços digitais.

Setenta e seis por cento das organizações pesquisadas sofreram um incidente com a segurança de APIs, e a maioria não tem os controles ou ferramentas para interrompê-los. Enquanto isso, o custo médio de uma violação de dados aumenta em 12,6% (para US$ 5,05 milhões) quando uma organização não está em conformidade.

Se você adotar uma abordagem proativa para encontrar todas as APIs, avaliar cada uma quanto a riscos e protegê-las contra violações, estará protegendo seus dados exatamente contra os impactos que as autoridades reguladoras estão tentando evitar."

Como isso afeta seu programa de conformidade? 

Se você adotar uma abordagem proativa para encontrar todas as APIs, avaliar cada uma quanto a riscos e protegê-las contra violações, estará protegendo seus dados exatamente contra os impactos que as autoridades reguladoras estão tentando evitar.

Nesta publicação do blog, apresentamos uma análise de alto nível das seis normas e diretrizes que indicam a necessidade de proteção de APIs, e destacaremos os principais exemplos de maneiras para estar em conformidade.

Seis principais normas e estruturas

1. Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) versão 4.0

O PCI DSS tornou-se um padrão global para proteger os dados de pagamentos. Se a sua empresa aceita os principais cartões de crédito e processa, armazena ou transmite dados de titulares de cartões eletronicamente, precisa cumpri-lo. 

O requisito 6.2.3 do PCI DSS 4.0 concentra-se na necessidade de as organizações revisarem seu código de aplicativos personalizado para garantir que nenhuma vulnerabilidade seja gerada na produção. Específico para APIs, esse requisito oferece orientação para confirmar se o software de uma organização usa com segurança as funções de componentes externos (bibliotecas, estruturas, APIs etc.). 

Uma das várias maneiras de estar em conformidade: Valide o comportamento normal e esperado do uso de APIs e implemente controles para impedir que agentes suspeitos violem seus sistemas (por exemplo, verifique o comportamento do aplicativo para detectar vulnerabilidades lógicas).

2. Regulamento Geral de Proteção de Dados (GDPR)

O GDPR é uma lei da União Europeia que visa reforçar e unificar a proteção de dados de indivíduos dentro da União Europeia. No entanto, o GDPR não se limita a empresas baseadas na UE; qualquer organização que ofereça bens de consumo ou serviços na União Europeia deve estar em conformidade.

O artigo 25 do GDPR está enraizado no privilégio mínimo, exigindo que as empresas implementem "medidas técnicas e organizacionais para garantir que, por padrão, apenas os dados pessoais necessários para cada finalidade específica... sejam processados." Por sua vez, os desenvolvedores de APIs devem implementar controles de autenticação e autorização de usuários para proteger os dados confidenciais que são transmitidos através de suas APIs. 

Esse é um ótimo exemplo de como a segurança de APIs se encaixa nos programas de segurança e conformidade gerais da sua empresa. Conceitos como o privilégio mínimo não são relevantes apenas para nós humanos; as APIs também devem ter a quantidade certa de acesso para fazer seu trabalho.

3. Lei de Resiliência Operacional Digital (DORA)

No total, mais de 22 mil instituições financeiras e prestadoras de serviços de TI na União Europeia são afetadas pelos requisitos da DORA, que visam ajudar as organizações a enfrentar e a recuperar-se de ataques cibernéticos. 

Como a segurança de APIs se relaciona à DORA? Vamos explorar a natureza do artigo 3 da DORA , que exige que as organizações usem soluções e processos de ICT que:

  • Minimizem os riscos, o acesso não autorizado e as falhas técnicas relacionados a dados

  • Evitem a indisponibilidade de dados, a perda de dados e violações de integridade e confidencialidade

  • Garantam a segurança da transferência de dados

Dado que a principal finalidade das APIs é transferir dados, é essencial testar suas APIs regularmente em busca de vulnerabilidades, incluindo a falta de controles de autenticação e a exposição não intencional à Internet pública. Ao aplicar uma abordagem shift-left ao teste de APIs, você pode impedir que as vulnerabilidades alcancem a produção.

4. Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)

A HIPAA concentra-se na privacidade de dados e nas regras de segurança para proteger as informações de saúde protegidas (PHI) em registros eletrônicos de saúde e sistemas de TI de saúde. Qualquer prestadora de serviços de saúde dos EUA, administradora de planos ou centro coordenador que armazene ou transmita PHI eletronicamente deve estar em conformidade com a HIPAA.

A regra de privacidade da HIPAA especifica que as entidades abrangidas "devem desenvolver e implementar políticas e procedimentos que restrinjam o acesso e o uso de informações de saúde protegidas com base nas funções específicas dos membros de sua força de trabalho". 

Portanto, os desenvolvedores de APIs de uma organização devem integrar proteções técnicas, como autenticação, IDs de usuário exclusivos e controles de acesso baseados em funções para garantir que o privilégio mínimo esteja em vigor.

5. Diretiva de Segurança de Redes e Informações (NIS2)

A União Europeia adotou a versão 2.0 da diretiva NIS em janeiro de 2023, que se baseia nas diretrizes da versão original para a proteção de infraestruturas de TI e a comunicação de incidentes. 

É importante observar que a NIS2 inclui uma nova ênfase na segurança de cadeias de fornecimento: as empresas agora devem avaliar os riscos e proteger suas cadeias de fornecimento e relações com fornecedores externos de TI. 

Como as APIs geralmente são usadas para integrar serviços externos — de fornecedores de software a provedores de serviços de nuvem —, garantir sua segurança é fundamental para mostrar às autoridades reguladoras que sua organização está protegendo os dados de seus clientes e a cadeia de fornecimento contra ataques.

6. Federal Financial Institutions Examination Council (FFIEC) 

O FFIEC desenvolve as orientações e os padrões que as autoridades reguladoras federais devem usar para supervisionar o setor financeiro dos EUA. Isso inclui a Federal Reserve e a FDIC. A missão do conselho é proteger os consumidores e os investidores contra fraudes, violações e más condutas.

Ao analisar as diretrizes da FFIEC, fica claro como a proteção de APIs pode ajudar as organizações a proteger os consumidores contra fraudes e o roubo de identidades. Por exemplo, a FFIEC recomenda que as empresas criem um inventário de todos os sistemas de informação — isso inclui APIs — que exigem controles de autenticação e acesso. 

A autorização também é fundamental: a FFIEC recomenda a implementação de segurança em camadas; por exemplo, o monitoramento, o registro e a comunicação de atividades para identificar e rastrear o acesso não autorizado a APIs. 

Proteger APIs também significa proteger a confiança

As seis normas e diretrizes apresentadas nesta postagem do blog têm algo em comum: proteger os dados que outras pessoas confiaram a você. 

Como você sabe, os riscos de uma violação de dados de APIs vão além de multas. A confiança e a reputação estão em jogo: entre seus clientes, funcionários e as autoridades reguladoras que abrangem seu setor. As autoridades reguladoras precisam ver que você está aplicando a combinação certa de equipes, processos e ferramentas para impedir que ataques como esses ocorram.

Saiba mais

Quer ver mais detalhes dos requisitos relevantes a APIs das seis normas que apresentamos nesta publicação? 

Saiba mais
John Natale

escrito por

John Natale

August 21, 2024

John Natale

escrito por

John Natale

John Natale é gerente de marketing de conteúdo global na Akamai.

Publicações do blog relacionadas

O Behavioral DDoS Engine da Akamai é uma poderosa adição a qualquer estratégia de defesa em profundidade.
O Behavioral DDoS Engine da Akamai é uma poderosa adição a qualquer estratégia de defesa em profundidade.

Behavioral DDoS Engine da Akamai: um avanço na mitigação de DDoS moderna

November 07, 2024
À medida que a infraestrutura digital cresce, também aumentam as ameaças impostas pelos ataques de DDoS. Veja como o Behavioral DDoS Engine da Akamai pode manter seus negócios online.
por Aseem Ahmed e Abdeslam Bella
Leia mais
Nossa nova regra dedicada Rails está detectando dezenas de milhares de tentativas de injeção de código Rails diariamente em todo o mundo.
Nossa nova regra dedicada Rails está detectando dezenas de milhares de tentativas de injeção de código Rails diariamente em todo o mundo.

Rails sem desvios: como impedir ataques de injeção de código

November 06, 2024
Proteja seus aplicativos Ruby on Rails críticos por meio da detecção dedicada de injeção de código.
por Sam Tinklenberg, Maxim Zavodchik, e Aparna Mandal
Leia mais
Não há dúvida de que a revolução da IA transformou a cibersegurança, para melhor e para pior.
Não há dúvida de que a revolução da IA transformou a cibersegurança, para melhor e para pior.

Explorando a inteligência artificial: a IA é superestimada?

November 04, 2024
Mergulhe em tecnologias de IA como inferência, aprendizado profundo e modelos generativos para aprender como LLMs e IA estão transformando os setores de cibersegurança e tecnologia.
por Berk Veral
Leia mais