Proteção e conformidade no lado do cliente: Lute contra ameaças, ajude a atender ao PCI DSS v4

Um cenário de ataque expandido

Embora o JavaScript tenha se tornado uma ferramenta essencial, ele também traz novos riscos de segurança. Devido à sua execução descentralizada no lado do cliente e à cadeia de fornecimento de dependências de terceiros, o JavaScript é extremamente difícil de ser monitorado e gerenciado para as organizações. Os invasores se aproveitam desse ponto cego e exploram vulnerabilidades em scripts e injetam código prejudicial em websites no navegador. Dessa forma, eles podem colher e exfiltrar informações confidenciais, incluindo dados de cartão de pagamento, de usuários finais.

Esses ataques, incluindo skimming da web, Magecarte formjacking, cresceram em sofisticação ao longo dos anos e podem criar consequências devastadoras para as empresas. As vítimas enfrentam a diminuição na confiança do cliente, no tempo de inatividade dos negócios e na perda de receita, bem como multas normativas significativas.

Novos requisitos de segurança do JavaScript no lado do cliente

Apesar dos impactos, a prevenção de ataques no lado do cliente não tem sido um foco de segurança na maioria das organizações e muitos websites permanecem desprotegidos. Para proteger os dados de pagamento no navegador, o Padrão de segurança de dados do setor de cartões de pagamento introduziu novos requisitos de segurança do JavaScript no lado do cliente na versão mais recente do PCI DSS (versão 4.0), lançada em março de 2022.

Para ser compatível, toda organização que processe dados de cartão de pagamento online deve saber quais scripts estão sendo executados no website, quando esses scripts mudam e quais ações eles estão realizando. O PCI DSS v4.0 entra totalmente em vigor em março de 2025, o que deixa às empresas um pequeno intervalo de tempo para atender a esses requisitos.

Apresentamos a Proteção e conformidade no lado do cliente da Akamai

A Proteção e& conformidade no lado do cliente da Akamai é uma solução de segurança de aplicações da Web criada para defender websites contra ameaças de JavaScript e facilitar a conformidade com os novos requisitos de segurança do JavaScript (6.4.3 e 11.6.1) descritos no PCI DSS v4.0.

A Proteção e& conformidade no lado do cliente é executada no navegador do usuário final para monitorar execuções de JavaScript no lado do cliente em uma página da Web protegida. Quando os scripts apresentam mudanças no comportamento, as técnicas de machine learning avaliam o risco de ações não autorizadas ou inadequadas, acionando alertas em tempo real para que as equipes de segurança investiguem.

Os usuários podem mitigar ameaças potenciais com um simples clique, restringindo o acesso e exfiltração do JavaScript de informações confidenciais do usuário final, incluindo dados de cartão de pagamento.

Suporte dedicado à conformidade com o PCI DSS v4.0

A Proteção e& conformidade no lado do cliente conta com amplo suporte para ajudar as empresas a cumprir os requisitos 6.4.3 e 11.6.1 do PCI DSS v4.0. Ela rastreia e faz o inventário de todos os scripts nas páginas de pagamento, garantindo sua integridade e autorização. As equipes de segurança podem facilmente justificar a finalidade dos scripts que estão sendo executados em páginas de pagamento, com justificativas predefinidas e regras automatizadas.

A solução também monitora as alterações nos cabeçalhos HTTP e nas proteções da página de pagamento para se defender contra adulteração da página. Um painel abrangente e alertas de PCI dedicados facilitam a resposta rápida a eventos relacionados à conformidade e fornecem evidências para auditoria.

Ampla visibilidade das ameaças de JavaScript

É um equívoco comum a ideia de que firewalls de aplicações da Web (WAFS) oferecem proteção contra ataques no lado do cliente. Como WAFs analisam o tráfego do lado do servidor, eles não podem detectar nem impedir ataques que ocorrem no navegador do usuário final. A Proteção e& conformidade no lado do cliente da Akamai complementa um WAF, dando visibilidade incomparável da superfície de ataque no lado do cliente do website. Ela rastreia o comportamento de execução de scripts, detecta vulnerabilidades e exposições comuns (CVEs) e avalia o alcance e o impacto de cada script.

A Proteção e& conformidade no lado do cliente também fornece informações sobre os dados acessados por scripts e ameaças potenciais, eliminando pontos cegos e garantindo proteção abrangente. A solução se alinha bem com o líder do setor Akamai App & API Protector, fornecendo defesa holística contra ameaças no lado do servidor e no lado do cliente.

Dê um volta no lado do cliente

A Proteção e& conformidade no lado do cliente é uma solução independente de CDN que pode ser implantada dentro ou fora da Akamai Connected Cloud e não requer outras soluções de segurança da Akamai. Ela funciona com websites complexos e aplicações de uma só página e não tem impacto significativo no desempenho da página. Com uma configuração rápida, as empresas recebem proteção imediata contra ameaças de JavaScript e agilizam os fluxos de trabalho de conformidade do PCI DSS v4.0.