Cumplimiento de la norma PCI DSS 4.0 y el requisito 6.4.2

Las principales empresas de tarjetas de crédito, entre ellas Visa, MasterCard y American Express, crearon la Norma de Seguridad de Datos para el Sector de Tarjetas de Pago (PCI DSS) para proteger los datos de los titulares de tarjetas. La PCI DSS proporciona un marco integral para proteger la información de las tarjetas de pago a lo largo de todo su ciclo de vida, desde la introducción de los datos hasta su almacenamiento y transmisión, y afecta a todas las entidades que aceptan o procesan tarjetas de pago.

El Consejo sobre Normas de Seguridad de la PCI anunció la versión 4.0 el 31 de marzo de 2022 con requisitos que entrarán en vigor en su mayor parte el 25 de marzo de 2025. La versión actualizada ofrece requisitos técnicos y operativos adicionales diseñados para proteger los datos de las cuentas y subsanar las deficiencias detectadas en su versión anterior (3.2.1). El requisito 6.4.2 introduce una actualización significativa de la norma, obligando a algunas organizaciones a adoptar tecnología para mejorar la seguridad de sus aplicaciones.

Qué es el requisito 6.4.2 de la norma PCI DSS 4.0

El requisito 6.4.2 actualiza el 6.6 de la versión anterior de la norma (imagen 1).

La versión 3.2.1 de la norma recomendaba los firewalls de aplicaciones web (WAF) y permitía las pruebas de penetración. Sin embargo, a partir del 25 de marzo de 2025, todas las organizaciones que cumplan con la norma PCI DSS deberán contar con un WAF frente a sus aplicaciones web de cara al público para detectar y prevenir ataques. 

Si bien la norma 6.4.2 exigirá una asignación presupuestaria adicional para un WAF si aún no se dispone de uno, esta adquisición puede tener implicaciones adicionales si se elige un proveedor de WAF antiguo y difícil de adoptar. Es probable que otros WAF obliguen a las organizaciones a destinar presupuesto a personal y recursos adicionales, ya que obligan a los equipos de DevSecOps a clasificar periódicamente los falsos positivos, ajustar miles de reglas e intentar extraer conocimientos.  Lo peor de todo es que muchos WAF antiguos son conocidos por bloquear el tráfico legítimo o interrumpir las aplicaciones, lo que afecta al resultado final y a la reputación de la organización.

Para aquellos que vuelven a utilizar un WAF tras un periodo de inactividad o que lo utilizan por primera vez, el WAF de última generación de Fastly es la solución ideal para el requisito 6.4.2.

Cumplimiento del requisito 6.4.2 con el WAF de última generación de Fastly

El requisito 6.4.2 describe cuatro requisitos mínimos, que el WAF de última generación de Fastly supera con creces:

El WAF de última generación de Fastly supera los mínimos del requisito 6.4.2 y proporciona protección avanzada de aplicaciones web y API (WAAP) para tus aplicaciones, API y microservicios. Esta protección va más allá de los ataques web de tipo inyección de los 10 principales ataques según OWASP (que los auditores buscarán como mínimo) y proporciona cobertura frente amenazas avanzadas, como la apropiación de cuentas (ATO) mediante el relleno de credenciales, los bots maliciosos, el abuso de API y mucho más, desde una única solución unificada.

Para las organizaciones que adoptan un WAF con el fin de cumplir el requisito 6.4.2, el WAF de última generación representa una transición fluida hacia una seguridad de las aplicaciones flexible, precisa y fácil de usar.

Obtén un WAF flexible para el requisito 6.4.2

Las organizaciones modernas utilizan complejas pilas tecnológicas que requieren flexibilidad, pero los proveedores antiguos suelen adoptar un enfoque único para todos sus productos. Mientras que otros proveedores dificultan la personalización de los productos para adaptarlos a tus necesidades específicas, el WAF de última generación se adapta a tus necesidades para satisfacerlas dondequiera que estés. Despliégalo en casi cualquier entorno, intégralo con docenas de tus herramientas de DevOps y seguridad favoritas, y personalízalo para que se adapte a tus necesidades de seguridad específicas. Mientras que otros WAF obligan a las organizaciones a desplegarlos bajo requisitos de arquitectura específicos, la flexibilidad del WAF de última generación garantiza que se pueda integrar en cualquier pila sin crear silos en tu canal DevSecOps.

Obtén un WAF preciso para el requisito 6.4.2

Cuando los equipos de seguridad quieren un WAF que ofrezca protección avanzada sin esfuerzos innecesarios, eligen Fastly. La tecnología SmartParse, exclusiva del WAF de última generación, permite tomar decisiones muy precisas, lo que se traduce en menos falsos positivos que otras soluciones. La detección del WAF de última generación es tan precisa que solo requiere una fracción de los recursos internos para funcionar, y es una de las principales razones por las que casi el 90 %¹ de nuestros clientes lo ejecutan en modo de bloqueo total, mientras que la media del sector es muy inferior. Mientras que otros WAF roban tiempo a los profesionales de la seguridad para la clasificación regular de falsos positivos y el ajuste, la precisión del WAF de última generación permite a las organizaciones dedicar menos recursos a la clasificación de alertas y más tiempo a iniciativas críticas que impulsan su negocio.

Obtén un WAF fácil de usar para el requisito 6.4.2

Adquirir un WAF es el primer paso para cumplir el requisito 6.4.2, y la decisión tiene consecuencias a largo plazo para los equipos de seguridad. Mientras que los proveedores antiguos detectan y bloquean a través de miles de reglas que los equipos de seguridad deben gestionar y ajustar, el WAF de última generación de Fastly adopta un enfoque totalmente diferente.

En lugar de bloquear mediante tediosas expresiones regulares como muchos proveedores de WAF antiguos, el WAF de última generación de Fastly utiliza SmartParse para ofrecer Signals (imagen 2).

Signals proporciona una guía clara sobre qué constituye un ataque y se integra con nuestras intuitivas herramientas para tomar medidas oportunas mediante alertas o bloqueos. Las organizaciones aprovechan Signals junto con nuestra metodología de bloqueo basada en umbrales para limitar la probabilidad de que las decisiones de bloqueo afecten al tráfico legítimo. Este cambio radical con respecto a los métodos antiguos permite a las organizaciones empezar con el modo de bloqueo y, cuando empiecen a confiar más en sus decisiones, pasarse al bloqueo instantáneo. Otros WAF dificultan la validación de las decisiones de bloqueo, lo que afecta involuntariamente al tráfico legítimo, pero el WAF de última generación ofrece conocimientos y herramientas para proteger fácilmente tu organización sin afectar al tráfico legítimo.

Elige bien para el requisito 6.4.2 y posteriores

El WAF de última generación de Fastly es la opción clara para las organizaciones que adoptan un WAF para cumplir con los nuevos requisitos 4.0, como el 6.4.2, y ayuda a resolver los requisitos existentes, como el 6.4.1 y el 6.3.3.  Sus robustas capacidades y funcionalidad fácil de usar permiten a las organizaciones proteger fácilmente sus aplicaciones, API y microservicios, independientemente de la experiencia o los recursos. Ponte en contacto con nosotros para ver una demostración o saber más sobre cómo Fastly puede ayudarte a cumplir con los requisitos de la norma PCI DSS.

¹: Casi el 90 % de los clientes de WAF de última generación funcionan en modo de bloqueo total a partir de marzo de 2023