בברזיל, איפה כרטיס האשראי הוא אחת מצורות התשלום העיקריות והנתונים הדיגיטליים יש להם ערך השווה לזה של כסף מזומן, הסיכונים להונאות מקוונות הופכים לנוכחים יותר ויותר, דורש תשומת לב מוגברת מהצרכנים ומהחברות.
כדי לקבל מושג על ממדי הבעיה, ארבעה מתוך עשרה ברזילאים כבר היו קורבנות של הונאות ומרמות פיננסיות במדינה, מה מייצג 42% מהברזילאים. הנתונים הם מ"הדו"ח על זהות דיגיטלית וונאה 2024", סקר שנערך על ידי סרסה אקספריאן.
מחקר נוסף, עכשיו של הקונפדרציה הלאומית של מנהלי חנויות (CNDL) ושירות ההגנה על האשראי (SPC ברזיל), בשיתוף פעולה עם סבראיי, מראה שכמעט 8,4 מיליון צרכנים דיווחו על הונאות במוסדות פיננסיים ב-12 החודשים האחרונים. בין המכות, שכפול כרטיסי אשראי ודביט מהווה את סוג ההונאה העיקרי.
למרות שכ-70% מהברזילאים מחזיקים בשלושה כרטיסים או יותר, כפי שמצביעה הסרזה, ההבנה של הסיכון עדיין נמוכה. כמעט 69% מהברזילאים ממשיכים להמעיט בחשיבות הסכנה של רישום נתונים פיננסיים באתרי אינטרנט ואפליקציות, מה שמותיר חלק עצום מהאוכלוסייה חשוף להונאות דיגיטליות ולמתקפות סייבר.
בעיצומו של האזהרה הגוברת על אבטחת מידע, חדשות טובות צצות: יוזמות חדשות והתקדמות טכנולוגית הופכות את הסביבה המקוונת לבטוחה יותר בכל יום.
לאחרונה, מועצת תקני אבטחת PCI (PCI SSC) הציעה הנחיות חדשות לפיתוח מתמשך ושיפור של תקני האבטחה, חלים על חברות המאחסנות, מעבירים או משדרים נתוני תשלום, כמו גם למפתחים וליצרני תוכנה ומכשירים המשמשים בעסקאות. ה-PCI היא ארגון עולמי, שמאחד את השחקנים המרכזיים בתעשיית התשלומים כדי לקדם את השימוש במשאבים לעסקאות בטוחות.
כשהאיומים והטכנולוגיה מתפתחים, התקני PCI DSS מתעדכנים גם הם. כך, צריך להיות ערני, עכשיו, לדרישות החדשות ולבצע את ההתאמות הנדרשות, אזהרה וגנר אליאס, מנכ"ל קונביסו, מפתחת פתרון לאבטחת יישומים.
בין העדכונים נמצאים העדכונים של תקן אבטחת המידע של ענף כרטיסי התשלום (PCI DSS), נוצר כדי להגן על כל שרשרת הערך של תשלומים בכרטיס. דרישות הציות שלך כוללות את אחסון הנתונים של מחזיקי הכרטיס ועד לאבטחת הגישה למידע רגיש על תשלומים.
בקיצור, יש צורך לחזק את הגנת המידע של הלקוחות, מיישמים אמצעים נוספים כדי למנוע גישה לא מורשית, אומר המומחה.
כך, החברות יצטרכו להסתגל ולהשקיע בטכנולוגיות חדשות. כדי לקבל מושג, כמה מהפתרונות הללו מסוגלים לספק תמונה מלאה של הסיכונים הקשורים לכל אפליקציה. "הכלים הללו משלבים מערכות שונות", מרכז מידע ועוזר בעדיפויות של פעולות, הכל בצורה רציפה, הסבר על המנכ"ל של קונביסו, על הפלטפורמה שלך Conviso Platform Application Security Posture Management (ASPM), שוחררה בשנת 2010.
עם זאת, המומחה מדגיש כי רבות מהחברות עדיין מאמצות גישה ריאקטיבית בנוגע לאבטחת המערכות שלהן, רק נותנים עדיפות לנושא לאחר שסבלו מהתקפה. התנהגות זו, לפי מה שהוא אומר, זה מדאיג, כי כשלים אבטחה יכולים לגרום להפסדים כספיים משמעותיים ונזקים בלתי הפיכים למוניטין של הארגון, שיכולים היו להימנע עם אמצעים מונעים.
בשבילו, כששוקלים את יצירת תוכנה חדשה, חשוב שהחברה תשלב את הביטחון בכל שלב של מחזור היצירה, מכסה מהגדרת הדרישות (שלב ראשון שמנתח מה האפליקציה תבצע) ועד לפריסה (הפקה ומסירה סופית).
כדי למנוע את הסיכונים הללו, היתרון הגדול הוא לאמץ פרקטיקות של אבטחת יישומים desde o início do desenvolvimento do novo aplicativo. זה מבטיח את הכנסת אמצעי הגנה בכל שלב במעגל חיי התוכנה. מלבד היותו חסכוני משמעותית מאשר לתקן את הנזקים לאחר אירוע, להשקיע בביטחון מונע הוא הרבה יותר יעיל. זה מאפשר למנוע התקפות, להגן על נתונים רגישים, להבטיח עמידה בחוקים ובנחיות, ולהבטיח שהיישום יהיה בטוח ואמין למשתמשים desde o começo, אומר המומחה.
וואגנר מסביר שהחברה מפתחת פתרונות שמשלבים אבטחה ב-DevOps, מאפשר שכל שורת קוד תפותח עם פרקטיקות של הגנה, בנוסף לשירותים כמו בדיקות חדירה והפחתת פגיעויות. ביצוע ניתוחים מתמשכים של אבטחה ואוטומציה של בדיקות מאפשר לחברות לעמוד בתקנים מבלי לפגוע ביעילות, ווגנר בולט.
מלבד יישום טכנולוגיות חזקות, מנכ"ל קונביסו מדגיש את החשיבות של ייעוץ מקצועי, שעוזרות לחברות להסתגל לדרישות של PCI DSS 4.0 ורגולציות אחרות. שירותים פוגעניים כמו בדיקות חדירה, צוות אדום והערכות אבטחת צד שלישי מקדמים גישה לאבטחה פרואקטיבית ומקיפה, זיהוי ותיקון פגיעויות לפני שהן יכולות להיות מנוצלות.
ההשקעות צריכות להאיץ
שינוי זה באבטחת המידע לא רק מחזק את האמון של הצרכנים בסביבה מקוונת בטוחה, כמו כן, מלווה את הצמיחה המואצת של שוק אבטחת היישומים, שצריך להתרחב מ-11 דולר,62 מיליארד ב-2024 ל-25 דולר,92 מיליארד עד 2029, לפי מודור אינטליג'נס. יישום טכנולוגיה מתקדמת מסמן תפנית בהגנה דיגיטלית ומחזק את האמון בשוק התלוי, יותר מתמיד, של ביטחון כדי לשגשג, סיים וגנר.
בדוק את הרשימה של 12 הדרישות של PCI DSS שהבדיקה של התאמה 4.0 צריך לענות:
- להתקין ולתחזק חומת אש
- מחק את הגדרת ברירת המחדל של הספק
- להגן על הנתונים המאוחסנים של בעל הכרטיס
- לְהַצְפִין אֶת הַשָּׁלָחַת שֶׁל מֵידָע תַּשְׁלוּם
- לעדכן באופן קבוע את תוכנת האנטי-וירוס
- להטמיע מערכות ויישומים בטוחים
- להגביל את הגישה לנתוני בעל הכרטיס לפי הצורך
- הקצאת זיהוי גישה של המשתמש
- להגביל את הגישה הפיזית לנתונים
- לעקוב ולנטר את הגישה לרשת
- בדיקת תהליכים ומערכות באופן מתמשך בחיפוש אחר פגיעויות
- ליצור ולשמור על מדיניות אבטחת מידע
היישום של ההנחיות של PCI DSS 4.0 מתבצע בשני שלבים
- השלב הראשון, עם 13 דרישות חדשות, היה תאריך סיום 31 במרץ 2024.
- השלב השני, עם 51 דרישות נוספות, יש ליישם עד 31 במרץ 2025.
