La próxima fecha límite de la normativa PCI DSS 4.0, el 31 de marzo de 2025, está a la vuelta de la esquina. Con ello, todo lo que se anunció en la versión 4.0 en marzo de 2022 se está consolidando. Aquí desglosamos todo lo que necesitas saber para estar listo para esta fecha límite inminente.
¿Qué es la normativa PCI DSS 4.0?
A grandes rasgos, la normativa de seguridad de datos para el sector de tarjetas de pago (PCI DSS) 4.0 refuerza las medidas de seguridad relacionadas con la autenticación, el cifrado y la monitorización en las empresas que gestionan tarjetas de pago. Incluye aspectos como:
Autenticación multifactor para empleados que acceden a datos de tarjetas
Requisitos de contraseña más estrictos para los sistemas
Más controles de seguridad y alertas para los equipos de seguridad
Evaluaciones y gestión de riesgos más exhaustivas
Todas estas son medidas de seguridad habituales en cualquier organización, por lo que es fácil pensar que para un equipo de auditoría el cumplimiento de la normativa PCI DSS no es más que un ejercicio de marcar casillas. Para muchas organizaciones, ahí es donde empieza y acaba todo. Pero hay algo más.
Por qué necesitamos una seguridad mejorada en PCI DSS 4.0
Una de las principales razones de la mejora de las medidas de seguridad de la normativa PCI DSS 4.0 es el aumento de los ciberataques sofisticados diseñados para robar datos de tarjetas de pago.
El robo de tarjetas de pago no es un problema nuevo: puedes llevar tus tarjetas de crédito en una billetera a prueba de RFID o elegir una gasolinera que acepte pagos móviles por si acaso hay un lector de tarjetas magnéticas oculto conectado al surtidor, listo para robar la información de tu tarjeta de crédito. Pero, ¿qué pasa con tu sitio web?
Nadie quiere visitar un restaurante que no haya aprobado una inspección de Sanidad. Del mismo modo, si tu sitio web provoca que los clientes pierdan los datos de su tarjeta de crédito a manos de un estafador, te arriesgas a perder su confianza para siempre.
Pero tenemos buenas noticias. Puedes dar un gran paso hacia la consecución de tus objetivos de cumplimiento en cuestión de minutos.
Por qué las organizaciones necesitan un WAF
PCI DSS 4.0 requiere que las organizaciones adquieran y desplieguen un cortafuegos de aplicaciones web (WAF) antes de la fecha límite del 31 de marzo de 2025. Los WAF son una pieza fundamental de cualquier rompecabezas de seguridad de aplicaciones, pero pueden ser una gran fuente de fricción tanto para los equipos de seguridad como para los equipos de ingeniería.
Muchos de los WAF que hay disponibles en el mercado producen una gran cantidad de falsos positivos y requieren periodos de ajuste largos y tediosos para eliminar alertas innecesarias. Por si fuera poco, se sabe que muchos bloquean el tráfico legítimo o interrumpen aplicaciones, lo que genera frustración en los usuarios y afecta a los resultados finales.
El WAF de última generación de Fastly es una solución ideal para cumplir con el requisito 6.4.2 de la normativa PCI DSS 4.0, que establece:
Para las aplicaciones web orientadas al público, se despliega una solución técnica automatizada que detecta y previene continuamente los ataques web con al menos los siguientes criterios:
Estar instalado delante de las aplicaciones web de cara al público y configurado para detectar y prevenir ataques web.
Estar funcionando y actualizado en todo momento.
Generar registros de auditoría.
Estar configurado para bloquear ataques web o generar alertas para su investigación inmediata.
Nuestro WAF de última generación puede ayudarte a cumplir estos requisitos y proporciona lo último en seguridad para aplicaciones web, API y microservicios. Pero hay muchas otras razones para querer el WAF de última generación de Fastly.
Nuestra tecnología patentada SmartParse sustituye el tedioso ajuste basado en expresiones regulares y permite tomar decisiones muy acertadas que se traducen en menos falsos positivos respecto a otras soluciones WAF. Por eso, más del 90 % de nuestros clientes ejecutan el WAF en modo de bloqueo total, con la seguridad de que estarán protegidos contra los actores maliciosos sin peligro de interrumpir el tráfico legítimo.
A los desarrolladores también les encanta. El WAF de última generación de Fastly se despliega con total flexibilidad en todo tipo de entornos y protege aplicaciones y API independientemente de dónde estén alojadas (contenedores, entornos locales, la nube o el borde). Mientras que otros WAF pueden actuar como obstáculos para la innovación, la flexibilidad y precisión del WAF de última generación de Fastly garantizan una integración perfecta en cualquier pila de DevSecOps, lo que simplifica la seguridad para todos.
Lo mejor de todo es que se despliega en tan solo 10 minutos, con un tiempo medio de bloqueo total de 60 minutos. Dada la inminencia de la fecha límite de la normativa PCI DSS, cada minuto cuenta.
Cómo Fastly puede ayudarte con el cumplimiento de PCI
El WAF de última generación de Fastly puede ayudar a las organizaciones a cumplir con los últimos estándares en materia de seguridad de datos de la PCI, simplificando el cumplimiento sin poner en riesgo tu seguridad.
No olvides poner un recordatorio para la fecha límite del 31 de marzo de 2025 y no te pierdas la información que iremos publicando sobre cómo fortalecer tus defensas contra los ataques del lado del cliente.
