Desafios do eCommerce com o PCI-DSS 3.1
Para estar em conformidade com a versão 3.1 do padrão PCI-DSS (Payment Card Industry Data Security Standard) e manter a segurança das aplicações web, as empresas de eCommerce devem estar atentas à necessidade de que as tecnologias automatizadas, como Web Application Firewalls (WAFs) e serviços de escaneamento de vulnerabilidades, devem ser complementadas por testes manuais de segurança, que podem ser conduzidos por equipes internas ou, preferencialmente, por empresas parceiras.
O primeiro desafio para o eCommerce está em atender aos requisitos do padrão PCI-DSS, obrigatório para todos os negócios que aceitam pagamento via cartões de crédito. Sites e aplicações web que apresentam vulnerabilidades se tornaram o caminho mais fácil para o comprometimento de redes de empresas de todos os portes, como aponta o Requisito 6.6, cuja finalidade é garantir a segurança de sites e aplicações web, identificando de forma contínua novas ameaças e vulnerabilidades e garantindo que essas aplicações estejam protegidas de ataques conhecidos.
E estar atualizado com um cenário de ameaças que está em constante evolução pode se tornar o ponto fraco das empresas de eCommerce. O padrão PCI-DSS indica que devem ser realizados testes automatizados e manuais, como testes de invasão, para assegurar a segurança das aplicações web. Pesquisas realizadas pelas universidades de KU Leuven, Na Bélgica, e Stony Brook, em Nova York, apontam a necessidade da realização de testes manuais, já que análises indicaram que ferramentas automatizadas não são eficientes na detecção de vulnerabilidades e devem ser complementadas por testes de invasão realizados por equipes internas ou externas.
A iBLISS conta com avançados recursos tecnológicos e equipes especializadas para realizar testes de invasão e serviços de diagnóstico e adequação capazes de garantir a segurança das aplicações web.
Os resultados dos testes de invasão e da segurança das aplicações web são entregues no GAT, plataforma de Gestão de Ameaças e Vulnerabilidades, em dashboards amigáveis, com detalhamento técnico de cada vulnerabilidade, recomendações e acesso à plataforma de suporte com técnicos especializados.