הביטחון הדיגיטלי קיבל כעת כללים חדשים והחברות שמעבדות נתוני כרטיסים צריכות להתאים את עצמן. עם הגעת הגרסה 4.0 של תקן אבטחת נתוני תעשיית כרטיסי התשלום (PCI DSS), מוקם על ידי מועצת תקני אבטחת PCI (PCI SSC), השינויים חשובים ומשפיעים ישירות על הגנת המידע של הלקוחות וכיצד נתוני התשלום מאוחסנים, מעובדים ומועברים. אבל, בסופו של דבר, מה באמת משתנה
השינוי העיקרי הוא הצורך ברמה גבוהה עוד יותר של אבטחה דיגיטלית. החברות יצטרכו להשקיע בטכנולוגיות מתקדמות, כיצד הצפנה חזקה ואימות רב-גורמי. שיטה זו דורשת לפחות שני גורמי אימות כדי לאשר את זהות המשתמש לפני מתן גישה למערכות, אפליקציות או עסקאות, מקשיים על חדירות, גם אם לפושעים יש גישה לסיסמאות או נתונים אישיים
בין גורמי האימות בשימוש נמצאים:
- משהו שהמשתמש יודעסיסמאות, קודים אישיים או תשובות לשאלות אבטחה
- משהו שהמשתמש מחזיקאסימונים פיזיים, SMS עם קודי אימות, אפליקציות אימות (כמו Google Authenticator) או תעודות דיגיטליות
- משהו שהמשתמש הואביומטריה דיגיטלית, פנים, זיהוי קול או קשתית
“שכבות ההגנה הללו מקשות מאוד על גישה לא מורשית ומבטיחות אבטחה גבוהה יותר לנתונים רגישים”, הסבר
בקיצור, יש צורך לחזק את הגנת המידע של הלקוחות, מיישמים אמצעים נוספים כדי למנוע גישה לא מורשית, הסבר וגנר אליאס, מנכ"ל קונביסו, מפתחת פתרון לאבטחת יישומים. “זה כבר לא עניין של 'להתאים את עצמך כשצריך'”, אבל לפעול באופן מונע, בולט
בהתאם לחוקים החדשים, היישום מתבצע בשני שלבים: הראשון, עם 13 דרישות חדשות, היה המועד הסופי במרץ 2024. שלב השני, יותר תובעני, כולל 51 דרישות נוספות ויש למלא עד 31 במרץ 2025. כלומר,מי שלא התכונן עלול להתמודד עם עונשים חמורים
כדי להתאים לדרישות החדשות, כמה מהפעולות העיקריות כוללות: ליישםfirewallsומערכות הגנה חזקות; שימוש בהצפנה בהעברה ואחסון של נתונים; לנטר ולעקוב באופן מתמשך אחרי גישות ופעילויות חשודות; לבחון תהליכים ומערכות באופן קבוע כדי לזהות פגיעויות; ליצור ולשמור על מדיניות קפדנית של אבטחת מידע
ווגנר מדגיש ש, בפועל, isso significa que qualquer empresa que lide com pagamentos via cartão precisará revisar toda a sua estrutura de segurança digital. זה כולל עדכון מערכות, לחזק מדיניות פנימית ולהכשיר צוותים כדי למזער סיכונים. למשל, e-commerce יצטרך להבטיח שהנתונים של הלקוחות יהיו מוצפנים מקצה לקצה ורק משתמשים מורשים יהיו להם גישה למידע רגיש. "רשת קמעונאית תצטרך ליישם מנגנונים כדי לנטר באופן מתמשך ניסי הונאה ודליפות נתונים אפשריות", מְדַגֵּם
הבנקים והפינטק יידרשו גם לחזק את מנגנוני האימות שלהם, מגדילים את השימוש בטכנולוגיות כמו ביומטריה ואימות רב-גורמי. המטרה היא להפוך את העסקאות לבטוחות יותר מבלי לפגוע בחוויית הלקוח. זה דורש איזון בין הגנה לשימושיות, משהו שהמגזר הפיננסי כבר משפר בשנים האחרונות, בולט
אבל, למה השינוי הזה כל כך חשוב? לא מוגזם לומר שהונאות דיגיטליות הולכות ומתרקמות יותר ויותר. דליפות נתונים יכולות להוביל להפסדים של מיליונים ונזקים בלתי הפיכים לאמון הלקוחות.
וואגנר אליאס מזהיר: "הרבה חברות עדיין מאמצות גישה תגובתית, רק דואגים לביטחון אחרי שתקיפה מתרחשת. התנהגות זו מדאיגה, כי כשלים אבטחה יכולים לגרום להפסדים כספיים משמעותיים ונזקים בלתי הפיכים למוניטין של הארגון, que poderiam ser evitados com medidas preventivas”
הוא עדיין מדגיש שכדי למנוע את הסיכונים האלה, היתרון הגדול הוא לאמץ פרקטיקות של אבטחת יישומים desde o início do desenvolvimento do novo aplicativo, מבטיח שכל שלב במחזור הפיתוח של התוכנה כבר כולל אמצעי הגנה. זה מבטיח את הכנסת אמצעי הגנה בכל שלב במעגל חיי התוכנה, היותו חסכוני הרבה יותר מאשר לתקן את הנזקים לאחר אירוע
חשוב לזכור שזו מגמה שצומחת בכל העולם. שוק אבטחת היישומים, שנוער 11 דולר,62 מיליארד ב-2024, צריך להגיע ל-25 דולר,92 מיליארד עד 2029, לפי מודור אינטליג'נס
וואגנר מסביר שפתרונות כמו DevOps, מאפשרים שכל שורת קוד תפותח עם שיטות הגנה, בנוסף לשירותים כמו בדיקות חדירה והפחתת פגיעויות. ביצוע ניתוחים מתמשכים של אבטחה ואוטומציה של בדיקות מאפשר לחברות לעמוד בתקנים מבלי לפגוע ביעילות, בולט
בנוסף לכך, יועצים מומחים חשובים בתהליך הזה, מסייעות לחברות להסתגל לדרישות החדשות של PCI DSS 4.0. בין השירותים המבוקשים ביותר נמצאת בדיקת חדירות, צוות אדום והערכות אבטחה של צדדים שלישיים, שעוזרות לזהות ולתקן פגיעויות לפני שהן יכולות להיות מנוצלות על ידי פושעים, חשבון
עם הונאות דיגיטליות מתקדמות יותר ויותר, להתעלם מאבטחת הנתונים כבר לא אופציה. חברות שמשקיעות באמצעים מונעים מבטיחות את הגנת לקוחותיהן ומחזקות את מעמדן בשוק. יישום ההנחיות החדשות הוא, לפני הכל, צעד חיוני לבניית סביבה של תשלומים בטוחה ואמינה יותר, סיים
