Digitalna sigurnost je upravo dobila nova pravila i tvrtke koje obrađuju podatke o karticama moraju se prilagoditi. S dolaskom verzije 4.0 do Standarda sigurnosti podataka u industriji kartičnog plaćanja (PCI DSS), uspostavljen od strane PCI Security Standards Council (PCI SSC), promjene su važne i izravno utječu na zaštitu podataka klijenata i na način na koji se pohranjuju podaci o plaćanju, obrađeni i preneseni. Ali, konačno, što se zapravo mijenja
Glavna promjena je potreba za još višim nivoom digitalne sigurnosti. Tvrtke će morati ulagati u napredne tehnologije, kao robusna kriptografija i višefaktorska autentifikacija. Ova metoda zahtijeva najmanje dva faktora provjere za potvrdu identiteta korisnika prije nego što se odobri pristup sustavima, aplikacije ili transakcije, otežavajući invazije, čak i kada kriminalci imaju pristup lozinkama ili osobnim podacima
Među korištenim faktorima autentifikacije su:
- Nešto što korisnik znalozinke, PIN-ovi ili odgovori na sigurnosna pitanja
- Nešto što korisnik posjedujefizički tokeni, SMS s kodovima za verifikaciju, autentifikacijske aplikacije (kao što je Google Authenticator) ili digitalni certifikati
- Nešto što je korisnikdigitalna biometrika, facijalni, prepoznavanje glasa ili irisa
“Ove zaštitne slojeve čine neovlašteni pristup mnogo težim i osiguravaju veću sigurnost za osjetljive podatke”, objasni
⁇ Kratko, treba treba ojačati zaštitu podataka klijenata, implementiranjem dodatnih mjera za sprečavanje neovlaštenih pristupa ⁇, objasni Wagner Elias, CEO Convisa, razvijalica rješenja za sigurnost primjena. “Nije više pitanje ‘prilagoditi se kada bude potrebno’”, ali preventivno djelovati, istakni
Prema novim pravilima, implementacija se odvija u dvije faze: prva, s 13 novih zahtjeva, rok je istekao u ožujku 2024. Već druga faza, više zahtjevan, uključuje 51 dodatni zahtjev i trebao bi biti ispunjen do 31. ožujka 2025.. To jest,tko se nije pripremio može se suočiti s teškim kaznama
Kako bi se prilagodili novim zahtjevima, neke od glavnih akcija uključuju: implementirativatrozidii robusni sustavi zaštite; koristiti kriptografiju za prijenos i pohranu podataka; neprekidno pratiti i pratiti pristupe i sumnjive aktivnosti; testirati procese i sustave stalno kako bi se identificirale ranjivosti; stvoriti i održavati strogu politiku sigurnosti informacija
Wagner ističe da, u praksi, to znači da će svaka tvrtka koja se bavi plaćanjima putem kartice morati pregledati cijelu svoju strukturu digitalne sigurnosti. To uključuje ažuriranje sustava, ojačati unutarnje politike i obučiti timove za minimiziranje rizika. Na primjer, e-trgovina će morati osigurati da su podaci kupaca šifrirani od kraja do kraja i da samo ovlašteni korisnici imaju pristup osjetljivim informacijama. Već će maloprodajna mreža morati implementirati mehanizme za kontinuirano praćenje mogućih pokušaja prijevara i curenja podataka, primjerice
Banke i fintechovi također će morati ojačati svoje mehanizme autentifikacije, proširujući upotrebu tehnologija poput biometrije i višefaktorske autentifikacije. "Cilj je učiniti transakcije sigurnijima bez ugrožavanja iskustva kupca". To zahtijeva ravnotežu između zaštite i upotrebljivosti, nešto što financijski sektor već unapređuje posljednjih godina, istakni
Ali, zašto je ova promjena tako važna? Nije pretjerano reći da su digitalne prijevare sve sofisticiranije. Cursevi podaci mogu rezultirati milijunskim gubicima i nepopravljivim štetama povjerenju klijenata.
Wagner Elias upozorava: “mnoge tvrtke još uvijek zauzimaju reaktivni stav, samo se brinuo o sigurnosti tek nakon što se dogodi napad. Ovo ponašanje je zabrinjavajuće, jer propusti sigurnosti mogu prouzročiti značajne financijske štete i nepopravljivu štetu reputaciji organizacije, koje bi se mogle izbjeći preventivnim mjerama
On još ističe da kako bi se izbjegli ti rizici, veliki diferencijal je usvojiti prakse Application Security (Bezbednosti Aplikacija) od početka razvoja nove aplikacije, osiguravajući da svaka faza ciklusa razvoja softvera već ima mjere zaštite. To osigura ubacivanje mjera zaštite u svim fazama životnog ciklusa softvera, biti mnogo ekonomičnije nego liječiti štetu nakon incidenta
Važno je napomenuti da je ovo trend koji raste širom svijeta. Tržište sigurnosti aplikacija, koji pokreće 11 USD,62 milijardi u 2024, treba doći do 25 USD,92 milijardi do 2029., prema Mordor Intelligence
Wagner objašnjava da rješenja poput DevOps, dozvoljava da svaki redak koda bude razvijen s praksama zaštite, osim usluga poput testiranja provale i ublažavanja ranjivosti. “Kontinuirano provođenje analiza sigurnosti i automatizacija testiranja omogućava tvrtkama da udovolje standardima bez ugrožavanja učinkovitosti”, istakni
Osim toga, specijalizirane konzultacije su važne u tom procesu, pomažući tvrtkama da se prilagode novim zahtjevima PCI DSS 4.0. "Među najtraženijim uslugama su testiranje penetracije", Crvena ekipa i procjene sigurnosti trećih strana, koje pomažu u identificiranju i ispravljanju ranjivosti prije nego što ih kriminalci mogu iskoristiti, račun
S s sve sofisticiranim digitalnim prevarama, zanemar sigurnost podataka više nije opcija. Tvrtke koje ulažu u preventivne mjere osiguravaju zaštitu svojih klijenata i jačaju svoju poziciju na tržištu. Implementacija novih smjernica je, prije svega, bitan esencijalan korak za izgradnju sigurnijeg i pouzdanijeg okruženja za plaćanje, zaključak
