Para estar em conformidade com a versão 3.1 do padrão PCI-DSS (Payment Card Industry Data Security Standard) e manter a segurança das aplicações web, as empresas de e-commerce devem estar atentas à necessidade de que as tecnologias automatizadas, como Web Application Firewalls (WAFs) e serviços de escaneamento de vulnerabilidades, devem ser complementadas por testes manuais de segurança, que podem ser conduzidos por equipes internas ou, preferencialmente, por empresas parceiras.

Desafios do e-commerce para atender os requisitos

O primeiro desafio para o e-commerce está em atender aos requisitos do padrão PCI-DSS, obrigatório para todos os negócios que aceitam pagamento via cartões de crédito.

Sites e aplicações web que apresentam vulnerabilidades se tornaram o caminho mais fácil para o comprometimento de redes de empresas de todos os portes, como aponta o Requisito 6.6, cuja finalidade é garantir a segurança de sites e aplicações web, identificando de forma contínua novas ameaças e vulnerabilidades e garantindo que essas aplicações estejam protegidas de ataques conhecidos.

Como atender os requisitos

Estar atualizado com um cenário de ameaças que está em constante evolução pode se tornar o ponto fraco das empresas de e-commerce.

O padrão PCI-DSS indica que devem ser realizados testes automatizados e manuais, como testes de invasão, para assegurar a segurança das aplicações web.

Pesquisas realizadas pelas universidades de KU Leuven, Na Bélgica, e Stony Brook, em Nova York, apontam a necessidade da realização de testes manuais, já que análises indicaram que ferramentas automatizadas não são eficientes na detecção de vulnerabilidades e devem ser complementadas por testes de invasão realizados por equipes internas ou externas.

A IBLISS conta com avançados recursos tecnológicos e equipes especializadas para realizar testes de invasão e serviços de diagnóstico e adequação capazes de garantir a segurança das aplicações web.