La protección de los datos de los clientes es fundamental para cualquier empresa que acepte información de pago en línea. El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), creado por las principales compañías de tarjetas de crédito, establece las mejores prácticas para proteger la información de los consumidores. Al adherirse a estos estándares, las empresas pueden garantizar que la información personal y financiera de sus clientes esté segura.
Los estándares de seguridad PCI DSS se aplican a cualquier negocio que procese, almacene o transmita información de tarjetas de crédito. El incumplimiento de PCI DSS puede resultar en costosas multas y sanciones por parte de las compañías de tarjetas de crédito. También puede conducir a una pérdida de confianza del cliente, lo que puede ser devastador para cualquier negocio.
PCI DSS 4.0 se lanzó en marzo de 2022 y reemplazará el estándar PCI DSS 3.2.1 actual en marzo de 2025. Eso proporciona un período de transición de tres años para que las organizaciones cumplan con 4.0.
La última versión del estándar traerá un nuevo enfoque a un área de seguridad pasada por alto pero de importancia crítica. Durante mucho tiempo, se ignoraron las amenazas del lado del cliente, que involucran incidentes de seguridad y violaciones que ocurren en la computadora del cliente en lugar de en los servidores de la empresa o entre los dos. Pero eso está cambiando con el lanzamiento de PCI DSS 4.0. Ahora, muchos requisitos nuevos se centran en seguridad del lado del cliente.
Por ejemplo, el requisito 6.3.2 ahora exige que las empresas identifiquen y enumeren todo su software, incluido cualquier software de terceros integrado en su entorno. El requisito 6.3.3 requiere actualizaciones para las vulnerabilidades conocidas mediante parches y actualizaciones de seguridad disponibles. El requisito 6.4.1 dirige a las empresas a abordar las nuevas amenazas y vulnerabilidades asociadas con las aplicaciones web de cara al público y abordar todas las amenazas conocidas.
Además, el requisito 6.4.2 establece que las aplicaciones web automatizadas orientadas al público deben configurarse correctamente para detectar y prevenir ataques basados en la web. También señala que las configuraciones deben estar activas, actualizadas y capaces de bloquear ataques o generar alertas que indiquen un posible problema. Finalmente, el requisito 6.4.3 requiere que las organizaciones autoricen cualquier script cargado y ejecutado en el navegador de un cliente.
Además, las secciones 11 y 12 tienen implicaciones para la seguridad del lado del cliente, incluida la identificación, priorización y tratamiento de vulnerabilidades externas e internas y la detección y respuesta a intrusiones en la red y cambios inesperados en los archivos.
Los requisitos incluidos en PCI DSS 4.0 podrían hacer mucho para ayudar a mejorar seguridad del lado del cliente. Aunque los controles de seguridad tradicionales, como los firewalls de aplicaciones web, protegen contra algunas amenazas en línea, no extienden la cobertura al navegador del cliente. En consecuencia, el software malicioso de skimming sofisticado, los ataques a la cadena de suministro, los ataques de carga lateral y de carga en cadena a menudo pasan desapercibidos, lo que deja a las empresas vulnerables.
mientras que un política de seguridad de contenido puede ayudar a garantizar el cumplimiento, crear y mantener uno sin automatización solo es factible si sus aplicaciones web y el uso del sitio web se mantienen estables. En entornos dinámicos, un CSP suele fallar y determinar por qué falló puede ser imposible debido a la falta de una solución que funcione.
Para cumplir con el próximo PCI DSS 4.0, las empresas deben comenzar a realizar cambios. Eso incluye averiguar qué activos web tienen y de dónde provienen, examinar el código y seguir las mejores prácticas establecidas por PCI 4.0. Esto podría plantear un problema para las grandes empresas con miles de líneas de scripts en uso. Para estas empresas, asignar tiempo para filtrar y etiquetar líneas de código podría llevar miles de horas.
En ese sentido, las empresas deberían considerar el uso de soluciones de seguridad modernas para ayudarlos con el cumplimiento de PCI 4.0. Políticas de seguridad de contenido automatizadas puede detectar todos los scripts propios y de terceros, los activos digitales y los datos a los que pueden acceder. Luego pueden generar políticas de seguridad de contenido relevantes. Las organizaciones también pueden detener la actividad web no autorizada o no deseada, como bloquear la exportación de datos del titular de la tarjeta, por ejemplo, mediante el uso de herramientas de seguimiento y gestión.
Los cambios en la versión 4.0 de PCI DSS significan que las empresas en línea deben tomar medidas adicionales para garantizar que los datos de sus clientes estén seguros. Las empresas que desean mantenerse a la vanguardia de la curva de cumplimiento deben comenzar a realizar cambios ahora, lo que incluye abordar los riesgos de seguridad generalizados del lado del cliente antes de que los atacantes puedan explotarlos.